"L'hacker può aver falsato le votazioni online dei 5 stelle. Rousseau va bloccato". Parla David Puente, ex dipendente della Casaleggio Associati
Diffuse informazioni sensibili di parlamentari e donatori: "Il portale ha un sistema di sicurezza basico"
"Casaleggio Associati dovrebbe sospendere Rousseau". Ne è sicuro David Puente, oggi blogger e debunker (smacheratore di bufale), ma dal 2007 al 2011 dipendente della Casaleggio Associati. L'attacco hacker subìto dalla piattaforma del Movimento 5 Stelleha portato online informazioni sensibili di parlamentari (numeri di telefono, indirizzi mail) e dati relativi alla donazioni degli attivisti (nome, cognome, città). "Non si tratta di un troll, ma di un hackeraggio vero e proprio. Il sistema di sicurezza di Rousseau è elementare...", afferma Puente ascoltato da HuffPost.
Come fa essere sicuro che non è un troll?
Quando ho visto il primo tweet, pensavo che fosse una presa in giro. Poi ho visto i dati di questa tabella in cui compare il nome di Marco Maiocchi, che è programmatore e socio della Casaleggio Associati. E in fondo alla tabella c'era questa scritta: "legalizzamelo".
Che significa "legalizzamelo"?
Chi ha lavorato dentro la Casaleggio sa che questo programmatore ha questo modo di parlare: "segnalamelo", "chiamamelo". Lui usa sempre questi termini che finiscono con "melo". Questa stringa, "legalizzamelo", è un test che probabilmente Maiocchi ha usato per le donazioni, quindi sono rimasti lì nel database e non sono stati cancellati.
Quindi appena ha letto "legalizzamelo" le si è accesa la lampadina?
Sì, l'hacker mi ha inviato questa tabella perché forse sa che ho lavorato alla Casaleggio e conosco Maiocchi. Le supposizioni che ho fatto sono: o è un hacker che ha sfruttato ciò che ha detto l'altro hacker, quello "buono" che ha scoperto le falle ma non ha rivelato informazioni. Oppure è un ex dipendente, e adesso si vuole vendicare.
Indirizzi mail, numeri di telefono, dati relativi alle donazioni (nomi, cognomi, città) diffusi online. A che livello di sicurezza siamo?
Basico, sicurezza base. Sono cose che si insegnano all'inizio.
Come è stato possibile?
Non so chi sia stato a fare quella parte di Rousseau ma chi l'ha fatta ha sbagliato di brutto. Basta che una persona lasci un piccolo buco e succede questo.
Due attacchi in pochi giorni dall'uscita del nuovo portale, presentato a Roma da Davide Casaleggio. Come se lo spiega?
Siamo di fronte a due hacker diversi, due fazioni di hacker. Uno è "buono" e ha controllato la vulnerabilità del sito, ha spiegato ai gestori come proteggersi, non diffondendo informazioni e non creando danni. Il secondo, quest'ultimo, odia questa tipologia di hacking. E non si fa nessun problema a diffondere dati, indirizzi mail, i numeri di cellulari.
È stata hackerata la vecchia o la nuova versione di Rousseau?
L'hacker non l'ha specificato. Ma questo non conta perché comunque si tratta di una mole di dati delicati, che lui ha potuto anche modificare. Lui dice di aver toccato le informazioni: se non c'erano le dovute precauzioni, può aver falsato qualche votazione.
E ora che si è scoperto debole, cosa può fare la Casaleggio Associati?
Quello che potrebbe fare la Casaleggio è bloccare tutto, dare tutto a una persona esterna, anche pagando profumatamente perché garantisca la sicurezza. Se fossi stato ancora in azienda avrei detto: blocchiamo tutto, chiudiamo la connessione al server e facciamo controllare ad "hacker buoni" per garantire la sicurezza al portale.
Nessun commento:
Posta un commento