Hacker online dimostra la vulnerabilità di Rousseau: "Ho bucato il sito, dati a rischio"
ROMA - Nemmeno 24 ore e la nuova versione di Rousseau, la piattaforma del Movimento 5 Stelle, è già stata hackerata, seppur a solo fine dimostrativo e senza voler recare danni agli utenti. Evariste Gal0is (questo il nome d'arte dell'esperto di sicurezza che ne ha rivendicato la paternità) ha fatto sapere - pubblicando un sito ad hoc, #hack5stelle, e diffondendo i risultati sui social media - l'esistenza di una vulnerabilità attaccabile con una sql Injection, ovvero un attacco che può ottenere informazioni da un database "a obiettivo quello di ottenere informazioni riservate da un database, inviando delle query, attraverso una variabile input non controllata.Gal0is premette: "Questo non è un attacco politico. Ho aperto questo sito solamente per avvisare gli iscritti i loro dati sensibili sono potenzialmente a rischio". Il rischio dovrebbe essere stato risolto, spiega Galois: "Ho avvisato via e-mail i gestori del sito della vulnerabilità trovata che mi hanno risposto che stanno lavorando per risolvere il problema, in questo momento la variabile non mi sembra più vulnerabile. Non scriverò qual era la variabile vulnerabile. Non escludo possano esserci ulteriori vulnerabilità o errori nel sito".
LA NOSTRA PROVA Ecco Rousseau, tra luci e ombre
Tra le informazioni che è stato possibile 'rubare' ad esempio i dati sulle donazioni, per la precisione "nome, cognome, e-mail, città, importo, tipologia di pagamento". Ma soprattutto tra le tabelle del database c'erano anche quelle relative alle votazioni online, e questo "non rende sicuro il sistema di votazione online adottato".
Gal0is sottolinea un altro problema di Rousseau, nella sua versione attuale: la richiesta di avere password di almeno otto lettere, una cifra che invoglia a scegliere una data e provare un attacco di forza bruta: "C'è un programma - continua il sito - che permette di effettuare questo attacco con un semplice computer in un tempo relativamente breve. Utilizzando una lista di 99999999 numeri, sono bastate 21 ore per craccare 136 password su un campione casuale di 2517, un esito positivo pari al 5,40% delle password analizzate. Una percentuale non irrisoria che potrebbe pesare, ad esempio, nelle votazioni online". Che spesso vengono decise sulla base di poche decine di voti.
Davide Casaleggio alla presentazione di Rousseau
Gal0is consiglia di "cambiare la password dell'account. Inoltre sarebbe utile cambiare le password della e-mail con cui ci si è registrati e dei vari profili social, specialmente se all'interno di queste password avete usato dati personali come data di nascita o altre informazioni personali". E ricorda: "È consigliato scegliere sempre password lunghe, molto lunghe, anche se facili da memorizzare, ma stando attenti a non usare una qualche vostra informazione facilmente reperibile. Se il numero di caratteri della password è limitato dal webmaster scegliete una password complessa".
E conclude: "Mi riallaccio alla premessa iniziale: questa pagina non è un attacco politico. È stata pubblicata solo con l'intento di rendere trasparente e semplice una questione importante: i dati personali di molte persone erano ottenibili a causa di una vulnerabilità presente nel sito. È quindi corretto che le persone vengano a saperlo, essendo quei dati i loro".
Posts
No comments:
Post a Comment