M5s, parla l'hacker Galois: "Sito vulnerabile, accesso a tutti i dati"

M5S: Parla l'hacker "Sito vulnerabile, accesso a tutti i dati"

"Si', ho avuto accesso all'intero database di Rousseau e a tutti i dati che gli iscritti devono immettere al momento dell'iscrizione". L'hacker che per primo ha violato i sistemi di sicurezza della piattaforma politica del Movimento 5 stelle racconta ad Agi come e' entrato nei server della Casaleggio Associati e quello che e' riuscito a trovare. Si fa chiamare Evariste Galois. Agi e' entrata in contatto con lui tramite una mail 'Proton', un sistema di criptaggio della posta elettronica. Esperti contattati in queste ore hanno confermato l'autenticita' della mail. Aver denunciato pubblicamente le falle dei sistemi di sicurezza informatica dei server di Rousseau ha causato all'hacker una dura reazione sul blog di Beppe Grillo, che lo ha minacciato di azioni legali. Lui per reazione ha cancellato tutto, compreso il suo account Twitter, ed e' stato in silenzio per qualche giorno: "Eliminarmi (da Twitter) mi ha dato dei giorni di tranquillita'. Il sito dove ho denunciato tutto invece e' caduto offline per le troppe visite". Adesso ha deciso di parlare e raccontare all'Agi la sua versione: nel database a cui ha avuto accesso, "c'erano tutti i dati piu' sensibili lasciati dagli utenti: nome e cognome, e-mail, profili social, professione, numero di telefono, etc". Prosegue l'hacker: "Come dicevo anche nel mio sito, potevo leggere ma non potevo modificare. O meglio: non ho cercato se erano presenti vulnerabilita' per scalare i privilegi e quindi non potevo modificare, ma potevo leggere. E questo e' gravissimo". L'hacker pero' specifica di non aver pubblicato alcun dato degli utenti. "Lo scopo era dimostrativo, dimostrare cioe' che io potevo aver accesso a quei dati. Il pericolo era il sito e la sua sicurezza, non io", continua Evarista Galois. Prima di raccontare su Twitter le falle del sistema, l'hacker conferma di aver cercato di farlo privatamente alla Casaleggio: "Li ho contattati uno o due giorni prima della diffusione del sito, per segnalare la vulnerabilita'. Hanno ringraziato per la segnalazione, ho avvisato che avrei pubblicato la notizia, senza pero' diffondere dati o dettagli troppo precisi sulla variabile vulnerabile". Quello che pero' due giorni dopo ha fatto un altro hacker, R0gue_0. Con intenzioni molto piu' 'cattive'. "Purtroppo qualcuno ha trovato altre variabili vulnerabili, e condanno il gesto".

L'hacker continua a dire che Rousseau tutt'ora e' gravemente vulnerabile: "Personalmente reputo la sicurezza di quel sito molto scadente. Mancano proprio le basi [della cyber sicurezza] a mio parere". Lui dice di aver avuto accesso a molti dati sensibili. Ma di non aver controllato l'intero database: "Non era mio interesse, poterlo leggere era gia' particolarmente grave. Non mi stupirebbe se ci fosse un unico database per tutti i loro siti", permettendo quindi che, bucato uno, si abbia accesso a tutto il resto. Rimane in piedi l'ipotesi che il Movimento valuti seriamente, come detto in un post, la possibilita' di denunciarlo: "Non ho ricevuto denunce, spero non procedano per via legale, piu' che altro per non perdere tempo in carte e aule di tribunale. Spero fosse solo un post di propaganda, devono ancora commentare la perdita dei dati. Penso che la gestione del problema sia stata fatta male in ogni suo step: comunicazione con la stampa, con gli utenti, gestione della sicurezza. Io avevo scritto dei consigli nel sito, che reputo sensati, ma sono stati ignorati". Ad oggi, quasi una settimana dopo l'attacco che ha messo online migliaia di dati sensibili degli iscritti al Movimento, non c'e' stata alcuna risposta ne' chiarimento da parte della Casaleggio Associati. Cosi' come resta un mistero l'identita' dei due hacker. Anzi, non e' neanche da escludere che gli hacker, in realta', non siano due ma uno soltanto.