Così gli hacker si sono introdotti nei siti a 5 stelle
Le primarie grilline sono andate tutto fuorché bene, non solo perché hanno partecipato appena 37 mila persone. I problemi durante il voto la dicono lunga sulle falle nei sistema di sicurezza del M5s e pongono alcune domande importanti
Roma. “Abbiamo respinto gli hacker”, esulta Beppe Grillo il giorno dopo le votazioni online che hanno incoronato Luigi Di Maio candidato presidente del Consiglio. Sarà, ma l’hacker che aveva violato nei mesi scorsi i siti del M5s è tornato a farsi sentire. R0gue_0, attraverso una serie di tweet, ha raccontato di essersi loggato come “user” su Rousseau, mostrando gli screenshot, poi ha mostrato di essersi loggato con gli account su Beppegrillo.it. Non solo: l’hacker sostiene che il sistema di doppio controllo tramite SMS – simile a quello che c’è su Google o Facebook, per intenderci, usato per verificare che chi si è collegato sia effettivamente il legittimo proprietario dell’account e della password – può essere aggirato.
No, I don't think so. #JeSuisMassimoBugani ? pic.twitter.com/slDpO3Gxs1
— rogue0 (@r0gue_0) 24 settembre 2017
R0gue_0 ha pubblicato alcuni screenshot su Twitter in cui si vedono i nomi di utenti con cui ha effettuato l’accesso a Beppegrillo.it. Tra questi si vede anche l’account del defunto Gianroberto Casaleggio, che aveva come nickname “Parsifal”, evocativo perché nella letteratura è un Cavaliere del Graal. Non solo, l’hacker sostiene di aver votato su Rousseau “decine di volte”, e per dimostrarlo ha allegato lo screenshot di una pagina in cui si vede il login di un utente, Davide Gatto. L’immagine in sé non dimostra che R0gue_0 abbia poi votato con quell’account, ma che si è collegato a Rousseau sì. Gatto, parlando con il Corriere, conferma “che qualcuno ha scoperto la mia password e l'ha usata per loggarsi: i gestori della piattaforma mi hanno aiutato a ripristinare l’account”. L’intruso “aveva cambiato il numero di telefono usato per l’autenticazione”.
Ecco l'articolo di @martinapennisi @Corriere dove Davide Gatto conferma l'intrusione dell'hacker a Rousseau https://t.co/wEPz17qy1G
— David Puente (@DavidPuente) 24 settembre 2017
David Puente, ex dipendente della Casaleggio Associati, debunker e blogger, pensa che nel caso dei login con le password di Casaleggio, ma anche di altri, le opzioni siano due: “1) Non hanno cambiato le password dopo averlo richiesto a tutti; 2) E’ entrato di nuovo prelevando nuove password”). Per quanto riguarda invece le presunte votazioni online la faccenda è più complicata: secondo Davide Gatto, scrive Puente sul suo blog, “l’hacker avrebbe scoperto la sua password per poi modificare, una volta loggato, il numero di cellulare utile per ricevere l’SMS il codice di sicurezza per il ‘doppio passaggio’. La domanda è: “Come può aver scoperto la password? Probabilmente gli utenti erano già iscritti al Blog di Beppe Grillo, dove erano in chiaro, e a tentativi può aver riscontrato che le stesse password (o loro varianti) venivano usate anche per accedere a Rousseau e al sito movimento5stelle.it”. Oppure, spiega sempre Puente, “per avere la conferma SMS può aver usato un numero fasullo ottenuto online”. In più, la piattaforma Rousseau si baserebbe “su un vecchio e largamente superato algoritmo”.
Insomma, queste primarie sono andate tutto fuorché bene, non solo perché hanno partecipato appena 37 mila persone. Diventa difficile credere alle rassicurazioni di Grillo e della Casaleggio sui “respingimenti di hacker”, perché, come giustamente si chiede Puente, “a chi dobbiamo credere non avendo un ente terzo che abbia certificato ogni singolo voto?”. Alle Quirinarie e per il voto dello Statuto “c’era una società che certificava, questa volta chi c’è? Due notai o i tecnici che lavorano per Rousseau e/o la Casaleggio Associati?”. Tutte domande che non possono avere una risposta, perché per il M5s è semplicemente andato tutto molto bene.
I problemi riscontrati con queste votazioni la dicono lunga sulle falle nei sistema di sicurezza del M5s e pongono alcune domande: tutte le votazioni effettuate sul blog di Grillo e su Rousseau sono al cento per cento verificate? Siamo sicuri che altri hacker come R0gue0 non si siano introdotti e abbiano manipolato i risultati, come quelli riguardanti il programma elettorale? Domande che diventano ancora più stringenti in vista delle prossime elezioni politiche, visto che il M5s comporrà le sue liste elettorali – sempre che rimanga così la legge – facendo ricorso alle parlamentarie, come già avvenuto in passato. Chi garantisce che i problemi non si verificheranno di nuovo? Al momento, nessuno.