Un esperto di sicurezza ha scoperto una vulnerabilità: "Ho individuato le password degli iscritti". La falla è stata chiusa
La piattaforma Rousseau usata dal Movimento 5 Stelle, presentata nella nuova versione da Davide Casaleggio il 2 agosto a Roma, è stata violata da un hacker, che sostiene di essere entrato negli archivi che custodiscono le password degli iscritti, i loro indirizzi mail, i metodi di pagamento e le cifre delle sottoscrizioni effettuate. "Non è un attacco politico" ha fatto sapere l'esperto di sicurezza online, noto con lo pseudonimo di Evariste GalOis.
L'avvertimento dell'haker - Sul suo profilo Twitter (che adesso risulta inesistente) ha precisato: "Volevo solo avvisare gli iscritti al sito rousseau.movimento5stelle.it che i loro dati sensibili sono potenzialmente a rischio". Evariste gal0is non si è limitato alla denuncia, ha segnalato la falla ai gestori della piattaforma che hanno risolto il problema. Non è chiaro se siano state trafugate informazioni di chi ha utilizzato lo strumento.
"La vulnerabilità c'era e accedere ai database non era complesso. C'è un programma - ha spiegato l'hacker - che permette di effettuare questo attacco con un semplice computer in un tempo relativamente breve. Utilizzando una lista di 99999999 numeri, sono bastate 21 ore per craccare 136 password su un campione casuale di 2517, un esito positivo pari al 5,40% delle password analizzate. Una percentuale non irrisoria che potrebbe pesare, ad esempio, nelle votazioni online".
La falla di sistema - Evariste GalOis ha sostenuto anche di essere riuscito a leggere 136 password e di non sapere se anche altri in passato siano riusciti a carpire le stesse informazioni per utilizzi illegali. Agli utenti ha consigliato di cambiare le "password dell'account", "della email con cui ci si è registrati" e "dei vari profili sulle reti sociali", soprattutto se al loro interno si trova la data di nascita.