Neanche il tempo di vedere la luce – presentata stamane in conferenza stampa al circolo della Stampa estera da Davide Casaleggio – che la nuova piattaforma che ospita Rousseau, il "sistema operativo" del Movimento 5 stelle, è stata hackerata. E non è stato neanche così difficile, stando a quanto scrive il ‘pirata’ autore di #Hack5Stelle. Sottotitolo: Proteggere i dati è importante. “Non è un attacco politico Voglio mettere in chiaro fin da subito una questione: questo non è un attacco politico” scrive l’autore dell’attacco. “Ho aperto questo sito solamente per avvisare gli iscritti al sito rousseau.movimento5stelle.it che, a causa di una variabile vulnerabile a SQL injection, i loro dati sensibili sono potenzialmente a rischio. Ho avvisato via e-mail i gestori del sito della vulnerabilità trovata che mi hanno risposto che stanno lavorando per risolvere il problema, in questo momento la variabile non mi sembra più vulnerabile. Non scriverò qual era la variabile vulnerabile. Non escludo possano esserci ulteriori vulnerabilità o errori nel sito”, continua.

Il pirata poi precisa di non voler fare “nessun particolare riferimento alla politica, nessun confronto con altri partiti, e non voglio assolutamente essere tirato in ballo in questi dibattiti futuri, se dovessero esserci. Non diffondo queste informazioni per screditare un partito, o per antipatia verso di esso, e non sono stato pagato da nessuno per trovare una vulnerabilità nel sito. Semplicemente l’ho trovata, e penso che sia corretto avvisare gli iscritti di una tale, potenziale, perdita di dati e informazioni riservate”.

Come è stato hackerato Rousseau? L’hacker ha usato il metodo SQL injection.

Un attacco di tipo SQL injection ha come obiettivo quello di ottenere informazioni riservate da un database, inviando delle query, attraverso una variabile input non controllata. Non essendoci sufficienti controlli sui valori e caratteri immessi in una variabile input vulnerabile è possibile eseguire dei comandi e ricevere risposte dal database senza avere i privilegi necessari. È uno degli attacchi più comuni verso i siti web, ed è reso piuttosto facile da un programma chiamato SQLmap, che io stesso ho utilizzato.
Usando il tool SQLmap ho avuto conferma della sospetta vulnerabilità e impartendo pochi comandi è stato possibile avere accesso ai database. Non avevo i privilegi d’amministratore, ma ho avuto comunque accesso a numerose informazioni riservate.

Con questo sistema è possibile capire chi ha fatto le donazioni online: nome, cognome, e-mail, città, importo, tipologia di pagamento. Ma non solo, il metodo SQL injection permetterebbe di accedere anche alle informazioni sensibili che un iscritto immette al momento della registrazione o della candidatura. E ancora, l’autore dell’attacco evidenzia come una password di 8 caratteri sul sito sia tutt’altro che sicura. Con un programma come John the Ripper e una lista di 99999999 numeri, “sono bastate 21 ore per craccare 136 password su un campione casuale di 2517, un esito positivo pari al 5,40%delle password analizzate. Una percentuale non irrisoria che potrebbe pesare, ad esempio, nelle votazioni online” scrive l’autore dell’attacco. Cosa fare ora? “Cambiare la password dell’account», spiegano dal sito. “Inoltre sarebbe utile cambiare le password della e-mail con cui ci si è registrati e dei vari profili social, specialmente se all’interno di queste password avete usato dati personali come data di nascita o altre informazioni personali”.