Ancora hackerata la piattaforma Rousseau, il “sistema operativo”, come si definisce sul sito dedicato, del Movimento 5 Stelle. Anche questa volta, come era già accaduto
nell’agosto dello scorso anno, il “buco” è stato creato dall’hacker rogue0. L’attacco è avvenuto alla vigilia di un nuovo
voto in con il quale il M5s ha chiamato gli iscritti a votare oggi su Rousseau per i nuovi probiviri, la scelta di proposte
di legge e i candidati per
Abruzzo e Sardegna.
Rogue0 ha pubblicato sul suo account Twitter i dettagli dell’operazione. In
Just to let you understand. [ #Rousseau ] database management system users privileges: user : %srv05sqlus… https://twitter.com/i/web/status/1037442405195075585
– rogue0(r0gue_0)
pratica, ha ottenuto da remoto i privilegi di superuser/administrator di Rousseau, ovvero l’account “supremo” che può, in teoria, fare qualsiasi cosa: da immettere dati falsi a recuperare password e credenziali di accesso. a cancellare totalmente i dati presnti nel sistema. L'attacco è stato confermato dal M5s.
Rogue0 ha anche pubblicato su privatebin.net, una piattaforma per la
Big news & #tables at #Rousseau Market , collection #Summer2k18 is out! Great & Useless changes from #casaleggio, f… https://twitter.com/i/web/status/1037452818389450752
– rogue0(r0gue_0)
condivisione anonima di frammenti di testo, l’elenco delle tabelle dei database di Rousseau a cui ha avuto accesso. Come detto dallo stesso rogue0, con una certa ironia, sempre su Twitter, queste tabelle comprendono dati vari, numeri di telefono, indirizzi di posta elettronica. Alcuni dei dati, come fa notare sul proprio blog l’esperto informatico e cacciatore di bufale David Puente, potrebbero essere stati creati negli ultimissimi tempi: «Ci sono due tabelle che fanno intendere che siano dati recenti e non dell'anno scorso, ossia “rsu_academy_proponi_corso” e “rsu_candidati_2018“», scrive Puente. In un altro documento, sempre pubblicato su privatebin, rogue0 mostra un “campione” di nomi, cognomi, indirizzi di posta elettronica e importi di
donazioni effettuate a favore della piattaforma Rousseau lo scorso 17 luglio. Come sottolinea ancora David Puente, «Se confermati questi dati, per i gestori della piattaforma non sarà una bella notizia. Oltre a dover rivedere la sicurezza dell'intera struttura, dovranno comunicare in tempi brevi al Garante e agli utenti coinvolti su quanto accaduto».
© Riproduzione riservata