L’hacker che aveva segnalato le vulnerabilità di Rousseau è sotto indagine

Aggiornamento del 6/02/18 alle 16:00: In seguito alla notizia dell'iscrizione dell'hacker Evariste Gal0is al registro degli indagati della procura di Milano, è stata lanciata una petizione online a sostegno del white hat, firmata dalla "Comunità Hacker Italiana" e indirizzata al Movimento 5 Stelle, Davide Casaleggio, Associazione Rousseau e Luigi di Maio.

"Riteniamo che Evariste Galois abbia agito in maniera etica e responsabile, limitandosi a segnalare ai gestori del sito le gravi falle di sicurezza che irresponsabilmente gli autori del sito hanno trascurato," recita la petizione. "L’hacking etico, cioè la ricerca aperta di vulnerabilità nei sistemi informatici e nei software con lo scopo di migliorarne la sicurezza, deve essere supportato e favorito, e non punito e perseguito. La comunità hacker e degli esperti di sicurezza informatica italiani esprime vicinanza, solidarietà e supporto ad Evariste Galois."

Potete firmare la petizione qui.

Secondo quanto riferito dall’agenzia ANSA, questa mattina la Polizia Postale ha effettuato una perquisizione nella casa di un cittadino sospettato di essere l’hacker che aveva segnalato le vulnerabilità della piattaforma Rousseau del Movimento 5 Stelle lo scorso agosto.

Il problema che salta subito all’occhio, però, è l’incongruenza e la completa insensatezza di quanto sta avvenendo: gli hacker legati alla vicenda della piattaforma Rousseau erano due, Evariste Gal0is e rogue0. Il primo aveva segnalato sia direttamente ai gestori della piattaforma Rousseau, sia tramite un post pubblico la presenza di gravi vulnerabilità informatiche — era possibile eseguire persino una SQL Injection — che permettevano di avere accesso a database contenenti diversi dati personali di utenti che avevano effettuato donazioni attraverso Rousseau, fra cui gli indirizzi email e i numeri di telefono degli iscritti.

Il secondo attacco, effettuato da rogue0, è avvenuto subito dopo il primo e ha mostrato una natura completamente diversa — l’hacker ha infatti persino messo in vendita i dati che aveva ottenuto attaccando la piattaforma:

Rogue0 aveva affermato di essere all’interno della piattaforma Rousseau da mesi, quindi ancor prima della segnalazione di Evariste, aveva mostrato di poter accedere con le password degli iscritti e inoltre nei suoi tweet aveva attaccato Evariste Gal0is per aver effettuato una responsible disclosure, ovvero aver indicato e segnalato al team di Rousseau l’esistenza delle vulnerabilità, seguendo le procedure consigliate dai ricercatori di sicurezza informatica.

Per tutta risposta, però, il M5S aveva sporto una denuncia contro Evariste, l’hacker etico, che quindi ora è iscritto nel registro degli indagati della procura di Milano con l'accusa di accesso abusivo a sistema informatico, secondo quanto riportato dall’ANSA.

Il M5S, oltre a proseguire erroneamente sulla scia dell'attacco politico come dichiarato all'ANSA, aveva solamente rilasciato commenti e pubblicato un post sul blog di Beppe Grillo relativo alle misure legali contro Evariste. Non aveva rilasciato commenti riguardo Rogue0. Al momento, però, dopo la ristrutturazione del blog di Grillo in vista delle elezioni, quel post, insieme ad altri, non è più disponibile — qui trovate la versione salvata da qualche utente su Internet Archive.

La responsible disclosure effettuata da Evariste aveva generato un’attenzione mediatica notevole al punto da spingere il Garante per la protezione dei dati personali ad indagare. E proprio ad inizio gennaio il Garante ha emesso un provvedimento che sottolinea duramente l’incompetenza informatica del M5S e pone alcuni seri dubbi sul processo di voto elettronico.

Fra le criticità sottolineate dal Garante vi sono la versione del CMS obsoleto, la mancanza di trasparenza, la segretezza del voto inesistente, e l’insicurezza nell’archiviazione delle password: tutti dettagli già sottolineati dallo stesso Evariste Gal0is.

Quest’ultimo aveva anche chiarito che non si trattava di un attacco politico ma che il suo unico obiettivo era quello di mostrare delle gravi falle di sicurezza con conseguenti danni per i cittadini.

E la sua attività di ricercatore informatico è ben documentata online: sul sito Open Bug Bounty, un progetto non-profit che ha l’obiettivo di collegare i ricercatori informatici agli amministratori dei siti web in un modo trasparente e utile, si legge infatti che grazie alle sue segnalazioni ha aiutato a risolvere 114 vulnerabilità su diversi siti.

Abbiamo provato a contattare Evariste per avere dichiarazioni su quanto sta avvenendo e sul trattamento ricevuto, ma al momento non abbiamo ancora ricevuto risposte. Sul suo account Twitter ha però postato questo:

Seguici su

Facebook

e

Twitter