L'hacker Rogue0 è tornato: una nuova violazione della piattaforma Rousseau?

Enrico Cicchetti

Pubblicati dati personali degli utenti e chiavi d'accesso dell'amministratore. "Se confermato, i gestori della piattaforma dovranno comunicare in tempi brevi al Garante della privacy", scrive il debunker David Puente

Confessiamocelo. All'inizio di quest'anno, alla ventesima mail che ci avvertiva che la normativa sulla nuova privacy GDPR era cambiata, abbiamo pensato più o meno tutti che pur di farla finita avremmo ceduto volentieri qualsiasi dato personale. Ma chi gestisce i dati di centomila iscritti la sicurezza informatica dovrebbe essere all'ordine del giorno e questo pensiero non pèalesarsi neanche. Il "decreto legislativo di armonizzazione al Regolamento Europeo sulla Privacy", è diventato pienamente operativo dal 4 settembre scorso. Pochi giorni prima che entrasse definitivamente in vigore, l'hacker più inviso al M5s è tornato a farsi sentire: in un primo tweet, Rogue0 – l'hacker che aveva già più volte violato i sistemi della Casaleggio e di Rousseau –ha sostenuto di avere lo username dell’amministratore del database di Rousseau. 

  

Rousseau, la piattaforma che nei piani di Casaleggio e dei Cinque stelle avrebbe l’obiettivo di “smantellare la democrazia rappresentativa” e sostituirla con una nuova forma di democrazia diretta in salsa digitale, era già stata "bucata" diverse volte. Prima da un hacker “buono”, un white hat, Evariste Galois. Uno studente di matematica veneto che aveva fatto un’intrusione “etica” nei sistemi del M5s, per segnalare ai gestori della piattaforma che il sistema era vulnerabile: “Riteniamo che Evariste Galois abbia agito in maniera etica e responsabile, limitandosi a segnalare ai gestori del sito le gravi falle di sicurezza che irresponsabilmente hanno trascurato”, si legge in un appello della comunità hacker italiana. Poi, anche in seguito alla scomposta reazione del M5s che ha accusato e denunciato Galois, si è palesato un black hat che gestisce il profilo Twitter r0gue_0: un hacker che ha tutt'altra intenzione che quella di aiutare a correggere le vulnerabilità del colabrodo a Cinque stelle. Entrato nell'agosto 2017 sulla piattaforma pentastellata ha rubato migliaia di dati sensibili da Rousseau e li ha pubblicati su un pastebin, un'applicazione web che permette agli utenti di inviare frammenti di testo per la visualizzazione pubblica. Rogue0 ha detto di avere migliaia di pagine sottratte al sistema. La sfida era diretta a Beppe Grillo: “È troppo facile giocare con i vostri voti” e “così si controllano le votazioni”. Dai codici pubblicati era possibile vedere chi ha fatto donazioni on line: nome, cognome, e-mail, città, importo, tipologia di pagamento. Tra i presenti ci sono anche Vito Crimi, senatore M5S, e Maurizio Benzi, uno dei soci della Casaleggio. 

   

Ieri Rogue0 è tornato. Dichiara di aver avuto di nuovo accesso a tutti i dati e per dimostrarlo ha pubblicato due link privatebin con alcuni dati relativi che sarebbero relativi al database di Rousseau. In uno c'è una lista di tabelle del database e in particolare due tabelle fanno intendere che siano dati recenti: “rsu_academy_proponi_corso” e “rsu_candidati_2018”.

   

Nel secondo link c'è invece una lista di sette donazioni che sarebbero state effettuate a favore della piattaforma Rousseau, contenenti dati personali di utenti: nomi, cognomi, email e importi in chiaro. "Se confermati questi dati, per i gestori della piattaforma non sarà una bella notizia. Oltre a dover rivedere la sicurezza dell’intera struttura, dovranno comunicare in tempi brevi al Garante e agli utenti coinvolti su quanto accaduto", scrive sul suo blog il debunker David Puente, ex dipendente della Casaleggio Associati, tra i primi a svelare gli attacchi hacker alla piattaforma Rousseau e al blog di Beppe Grillo.

     

    

A confermare, per ora, la credibilità dell'attacco c'è uno degli utenti che ha effettuato la donazione, contattato dal Corriere della Sera, che conferma di aver effettuato una donazione nella data indicata: "Non sapevo della pubblicazione delle informazioni da parte dell’hacker, ma sono cose che possono accadere. Diciamo che lo si mette in conto. Per me la diffusione di questi dati non è un problema, continuerò a usare Rousseau", ha dichiarato.

  

Forse per l'utente grillino non è un problema ma per la legge sì. A dicembre, in seguito a un’indagine, Davide Casaleggio e l’Associazione Rousseau sono stati raggiunti da un provvedimento del Garante della privacy che segnalava tutte le carenze e le violazioni del sistema e indicava una serie di prescrizioni e accorgimenti per garantire la sicurezza informatica ai dati degli iscritti. Casaleggio in un'intervista ha dichiarato che Rousseau ha speso centinaia di migliaia di euro per lo sviluppo e la sicurezza dei suoi sistemi informatici e di aver “accolto tutti i suggerimenti del Garante”. Ma l’attacco hacker sembra dimostrare proprio il contrario. intanto dal Garante fanno sapere di aver avviato le prime verifiche, anche al fine di "valutare se il data breach sia stato determinato dalle medesime cause riscontrate in passato, già oggetto di un provvedimento, o a quali altre cause sia dovuto”.