Secondo un hacker italiano, il sito Rousseau del M5S non è sicuro

Rousseau non è solo il nuovo sistema del Movimento Cinque Stelle per votare, è un coordinatore di tutte le sue attività, che permette diverse azioni. Si tratta di un sistema chiuso, accessibile soltanto agli iscritti, che vengono identificati in rete e possono agire soltanto in funzione della loro identità.

Su Twitter si fa chiamare Evariste Gal0is, ma nessuno conosce la sua identità. È l’hacker “white hat” (cioè buono) che ha scoperto una grave vulnerabilità della nuova piattaforma Rousseau, il “sistema operativo” del Movimento 5 Stelle che Davide Casaleggio ha rilanciato a Roma con una conferenza stampa.

Nel minisito #Hack5Stelle in cui descrive la falla, Evariste Gal0is precisa subito che il suo “non è un attacco politico”. Lo scopo delle sue rivelazioni è avvisare gli iscritti al sito rousseau.movimento5stelle.it che “a causa di una variabile vulnerabile a SQL injection i loro dati sensibili sono potenzialmente a rischio”.

INIEZIONI DI SQL

La SQL injection è una tecnica di attacco che permette di eseguire codice su una base di dati dall’esterno, grazie all’iniezione di comandi all’interno di variabili di inserimento dati non sicure. In questo modo è possibile leggere le tabelle del database e scaricarne i contenuti.

Nel caso della piattaforma Rousseau l’hacker è riuscito ad accedere al sistema senza avere alcun privilegio da amministratore. “Impartendo pochi comandi” ha potuto visualizzare le informazioni personali degli iscritti, ad esempio quelle di chi che ha effettuato una donazione. Tra i dati sensibili vulnerabili c’erano il nome e il cognome dell’attivista, l’e-mail, la città di residenza, l’importo versato e la tipologia di pagamento utilizzata.

Nell’immagine, le tabelle del database di Rousseau cui l’hacker è riuscito ad accedere  

PASSWORD TROPPO CORTE

La vulnerabilità del database di Rousseau non è l’unica debolezza della piattaforma online del M5S svelata dall’hacker. Al momento dell’iscrizione il sistema obbliga infatti a scegliere password lunghe al massimo 8 caratteri, una limitazione che si presta a rendere insicure le parole chiave scelte dagli utenti.

“Sapendo che la lunghezza massima è di soli otto caratteri e che le date di nascita nel formato giorno/mese/anno sono lunghe esattamente otto cifre”, si legge ancora nel minisito #Hack5stelle, “è abbastanza logico tentare un attacco dizionario con una lista di numeri da 00000000 a 99999999”.

Utilizzando il programma gratuito John The Ripper l’hacker ha condotto la prova descritta, riuscendo a craccare 136 password su un campione casuale di 2517 utenti in 21 ore, con un esito positivo del 5,40%: “una percentuale non irrisoria che potrebbe pesare, ad esempio, nelle votazioni online”.

INFORMAZIONI ATTENDIBILI

«Dalla descrizione delle operazioni eseguite mi sembra che le informazioni siano tutte attendibili; inoltre le tabelle del database sono compatibili con il tipo di piattaforma», dice a La Stampa Matteo Flora, hacker, esperto di sicurezza online e fondatore di The Fool, un’agenzia che si occupa di gestione della reputazione online. «Il problema delle vulnerabilità sensibili alle SQL Injection, come quella scoperta su Rousseau, è che tradiscono una debolezza generale del sistema. In altre parole è molto probabile che ci possano essere altre falle ancora aperte oltre a quella già scoperta».

«Il rischio principale è ovviamente il furto di dati», spiega ancora Flora, «ma non vanno escluse altre possibilità di attacco, come il phishing: con le informazioni sensibili ricavate dal database è facile preparare email convincenti da inviare agli iscritti per ingannarli e carpire altri dati sensibili o le credenziali di accesso. Poi c’è il rischio profiling, la possibilità di creare un elenco dei donatori del Movimento. Alcuni potrebbero non aver piacere ad apparire a loro insaputa».

PRIMO CONTATTO

Non appena scoperta la vulnerabilità, Evariste Gal0is ha provveduto a tenerla segreta, come si conviene a un “hacker etico”, e l’ha comunicata direttamente ai responsabili del sito dei 5 Stelle.

«Non ho trovato alcuna e-mail per contattare lo staff tecnico, ma solo un form generico per qualunque tipo di problema. Ho [inviato un messaggio] con questa opzione, e [ho] provato a segnalare il problema anche con un tweet all’account ufficiale del Mov5Stelle» spiega via email a La Stampa in risposta a una richiesta di commento. «Il giorno dopo mi hanno contattato via e-mail, dicendomi che stavano lavorando per risolvere il problema. Avevano applicato un primo fix e mi chiedevano se andava bene e se conoscevo altre vulnerabilità simili. Ho risposto spiegando che [la soluzione] era incompleta e il parametro rimaneva vulnerabile. Ho inoltre detto loro che vulnerabilità simili, cioè ulteriori parametri vulnerabili a SQL injection, non ne conoscevo, ma che non reputavo sicuro il sistema, essendo il sito beppegrillo.it e [i sottodomini del sito] movimento5stelle.it pieni di altre vulnerabilità. Dopo questa e-mail non sono stato più contattato. Li ho avvisati che avrei diffuso la notizia della vulnerabilità senza rivelare informazioni sul parametro vulnerabile».

SUGGERIMENTI 

Nel minisito in cui descrive la falla, l’hacker ha raccolto alcuni consigli per gli iscritti alla piattaforma. Li invita ad esempio a cambiare subito le password dei propri account, dell’indirizzo email fornito al momento della registrazione e dei propri profili social, “specialmente se avete usato dati personali come la data di nascita”.

Ai responsabili del sito suggerisce invece di aprire un indirizzo email apposito cui segnalare le potenziali problematiche di sicurezza, di assumere una posizione di maggiore trasparenza con gli iscritti sul problema del possibile furto di dati e di attivare un programma di “bug bounty”, ovvero un sistema di ricompense per gli hacker buoni che li invogli a segnalare vulnerabilità e bug.

Conclude infine reiterando che il minisito #hack5stelle non ha alcuno scopo politico, ma è stato creato “solo con l’intento di rendere trasparente e semplice una questione importante: i dati personali di molte persone erano ottenibili a causa di una vulnerabilità del sito”. (fonte)

You may also like...