FYI.

This story is over 5 years old.

Tecnologia

'È un luna park ormai': abbiamo parlato con l'hacker di Rousseau

Database, liste di donatori e persino il numero di Luigi Di Maio e Toninelli: per l'hacker di Rousseau è quasi come un passatempo.

Nella serata di mercoledì 5 settembre, è tornato a farsi vivo l'hacker black hat rogue0 che con una serie di tweet ha annunciato e dimostrato di essersi nuovamente introdotto all'interno dei sistemi di Rousseau, la piattaforma online del Movimento 5 Stelle per la democrazia diretta.

I dati presentati da rogue0 nelle ultime ore provengono direttamente dai database di Rousseau e includono un estratto dalla lista di persone che hanno effettuato una donazione attraverso Rousseau — e di cui abbiamo verificato la veridicità —, un listato delle tabelle del database di Rousseau e, da ieri sera, anche una porzione di dati che include il numero di telefono e l'email personale di Luigi Di Maio, Danilo Toninelli e Alfonso Bonafede.

Pubblicità

La diatriba tra Rousseau, la sicurezza informatica e la comunità di hacking italiana va avanti ormai da più di un anno, nello specifico da quando nell'agosto 2017 l'hacker white hat Evariste Gal0is aveva segnalato alcune falle di sicurezza direttamente alla Casaleggio Associati, proprietaria di Rousseau, e che è stato poi successivamente indagato per accesso abusivo a sistema informatico.

Dopo il dump degli ultimi giorni, abbiamo contattato rogue0 su Twitter per fargli alcune domande sulle dinamiche e sulle ragioni del suo ultimo hack. Al momento, grazie alla recente introduzione ufficiale del GDPR, la falla di Rousseau potrebbe comportare una multa ingente ai danni di Casaleggio Associati.

MOTHERBOARD: La tua presenza nella piattaforma è rimasta costante negli ultimi mesi?

Rogue0: Ne ho trovata una nuova [di falla, ndr] appena loro hanno chiuso quella vecchia, se quindi intendi ininterrottamente dallo scorso attacco no… Ci sono stati alcuni giorni in cui ero fuori. :-)

Quella nuova ora è chiusa forse, data la vulnerabilità. Ma non sto più provando niente perchè se non hanno ancora fixato [riparato la falla, ndr] [è perché] stanno aspettando me che gli mostro dove farlo lol.

Hai anche accesso in scrittura al database?

L'accesso è sempre lo stesso quindi si, in uno dei tweet ho scritto nome e tipo di user e i suoi privilegi, quindi è una cosa pubblica

Quali sono le tue motivazioni e gli obiettivi?

Pubblicità

Le motivazioni anche sono sempre le stesse, sono incompetenti spocchiosi e truffatori. Ad ogni modo è diventato un po' come un rituale… Ogni anno passo da queste parti a vedere come siamo messi, ogni anno mi porto a casa il bottino. È un luna park ormai. E questo, credimi, succede da molti anni. Alcuni dei dati leakati lo scorso anno erano belli vecchi

Quando fai riferimento a "molti anni" potresti essere più specifico?

Se lo chiedi a David Puente che è colui che può confermare il tempo di [ti, sic, ndr] direbbe 2007. Ma solo perché si vergogna della password che aveva. :-)

A questo riguardo, abbiamo contattato David Puente per chiedergli un commento alla risposta di Rogue0: "Non ho nulla di cui vergognarmi," ci ha spiegato su WhatsApp, e ha continuato citando un estratto da un suo articolo dell'agosto 2017, "Riconosco i dati [pubblicati da Rogue0, ndr], sono quelli relativi agli account presenti nella piattaforma dei commenti del Blog di Beppe Grillo. Per quanto riguarda il mio posso confermare al 100% e oltre, quella password (“timbiriche“) la usavo nel 2007 quando ero “giovane e inesperto“. Una password estremamente segreta, nonostante la sua semplicità, e mai fornita ad anima viva in nessuna sua forma o alterazione."

Hai effettivamente atteso l'adozione del testo italiano del GDPR per rilasciare i dati?

Ma no, è un caso. :-)

Cosa pensi dell'idea della democrazia diretta e del voto elettronico? La tua è anche una battaglia di principi o solo legata al comportamento del partito M5S?

Pubblicità

Ancora queste domande. :-) Questo non è un hack politico, a me del comportamento del partito non frega niente. Se vuoi è una battaglia di principi informatici. Se ti riferisci ai numeri dei ministri è solo perché fanno rumore, a scapito di Davide [Casaleggio, ndr]. Povero Davide. lol

Facevo riferimento al tuo "incompetenti, spocchiosi e truffatori".

Ma parlo della Casaleggio io lol Che ne possono i M5S se Davide è un buffone. Oddio, qualcosa ne possono :-) Ma non è questo il punto.

Hai venduto i dati che hai ottenuto? Qualcuno si è interessato?

Questi non ancora, c'è sempre qualcuno interessato.

I precedenti?

I precedenti mi sembra chiaro. :-)

Segui Riccardo su Twitter: @ORARiccardo

Segui Federico su Twitter: @nejrottif