Rousseau, lo staff e quelle mail con l’hacker Evariste (poi messo alla gogna)

C’è uno scambio di mail, avvenuto circa un anno fa, che testimonia le buone intenzioni di Evariste Galois, l’hacker buono, white hat, che svelò allo staff del MoVimento le fragilità del sistema Rousseau.

Come ricostruiscono oggi Nicola Biondo su Il Foglio e David Puente per un periodo iniziale la realtà che ha aiutato il Movimento 5 stelle a diventare una forza nazionale sembra apprezzare il contributo dell’informatico. Salvo poi accusarlo, via blog, nelle giornate successive.

Per capire tutta la storia, inclusi i messaggi avvenuti tra i vertici ed Evariste, occorre andare a tappe cronologiche. Ci sono stati cinque scambi mail, raccontati oggi su Il Foglio. Noi riportiamo lo screen di tali conversazioni. Si tratta di conversazioni finite sul tavolo della procura di Milano, nell’inchiesta che vede lo studente veneto indagato per accesso abusivo in un sistema informatico, un reato che prevede una pena fino a 3 anni di carcere.

ROUSSEAU: EVARISTE AVVERTE LO STAFF (31 LUGLIO 2017)

Luigi Gubello, 27 anni, è uno studente di matematica. In rete si chiama Evariste Galois (come lo sfortunato matematico francese dell’Ottocento). Nel pomeriggio del 31 luglio 2017 scrive al quartier generale dello staff di Rousseau. Avverte di un parametro vulnerabile su rousseau.movimento5stelle.it. Aggiunge inoltre che solo quando le falle saranno chiuse racconterà la vicenda. Il due agosto infatti il white hat rende nota la vulnerabilità di Rousseau, quando il problema segnalato sembrava risolto dagli informatici.  Cosa succede poi è noto. Tra il 2 e 3 agosto spunta un hacker noto con il nickname di Rogue_0. Non è un white hat. Sosteneva di esser entrato in Rousseau, diffondendo dati sensibili. Il 7 agosto Evariste viene bollato come l’hacker che ha bucato il sistema. Parte la denuncia dall’Associazione Rousseau e la postale risale così all’identità di Gubello.  Non è Rogue_0 ad esser denunciato per violazione, no. Ma l’hacker buono: lo studente, di 27 anni.

Ecco qui la mail che Evariste mandò allo staff.

Qui la risposta dello staff, che lo ringrazia e lo invita a segnalare, ove ce ne fossero, altre anomalie.

ROUSSEAU: EVARISTE ASSICURA CHE NON DIVULGHERA’ DATI SENSIBILI (1 AGOSTO 2017)

Segue un’altra mail dove il white hat spiega quali altri problematiche possano esserci. E assicura: quando la vulnerabilità sarà risolta, Evariste parlerà del problema. Nei dovuti termini, proprio per non danneggiare il MoVimento.

ROUSSEAU: ARRIVA Rogue_0. EVARISTE AVVISA ANCORA UNA VOLTA LO STAFF (5 AGOSTO)

Stavolta è ancora Evariste a parlare allo staff. Racconta dell’invasione di Rogue_0. Ribadisce che non ne condivide le intenzioni dell’hacker. Anzi le condanna. Non solo: il 27enne suggerisce allo staff come risolvere il problema.

Lo Staff lo ringrazia della segnalazione.

Tutto ok no? Evariste ha fatto il suo dovere e dallo staff stanno pensando a come sbrogliare la vicenda con Rogue_0.  E invece no. Con il dileggio del black hat sui social la vulnerabilità di Rousseau finisce su tutti i giornali. Sul blog del MoVimento appare la notizia di condanna per Evariste.

L’ASSOCIAZIONE ROUSSEAU DENUNCIA EVARISTE (7 AGOSTO 2017)

Qui in copia cache vedete l’annuncio (pubblicato sul blog e ora non più rintracciabile) della denuncia da parte dell’Associazione Rousseau contro il 27enne che li aveva avvisati del problema.

L’Associazione Rousseau ha subito intrusioni nei suoi server, dai quali sono stati rubati dati e informazioni dei suoi iscritti.
Il primo a darne notizia il 2 agosto è stato l’hacker noto come Evariste Galois che ha pubblicato su un sito, scomparso dopo pochi giorni e poi ripubblicato sempre all’indirizzo http://hack5stelle.byethost17.com/?i=1, alcune tabelle estratte dalla struttura del database, oltre alle istruzioni per accedere al database e indicando un programma per reperire le password degli utenti.
Il giorno successivo, 3 agosto, l’hacker noto come rogue0 pubblica su Twitter e sul sito zerobin.net dati rubati dal database dell’Associazione Rousseau. Il 5 agosto sempre sullo stesso account Twitter rogue0 annuncia la messa in vendita del database di Rousseau per il prezzo di 0,3 bitcoin https://twitter.com/r0gue_0/status/893803653903110144.
L’Associazione Rousseau ha quindi subito una violazione dei suoi server da parte degli hacker Evariste Galois e Rogue0, ha subito il furto dei dati presenti nel database da parte dell’hacker rogue0 che in seguito ha messo in vendita questi dati e afferma, sempre su Twitter, di aver concluso la vendita.
Con la presente si intende presentare denuncia-querela affinché l’autorità giudiziaria accerti la sussistenza di eventuali reati e individui i soggetti responsabili. A tal fine, ove si ravvisino reati procedibili a querela di parte, si dichiara sin d’ora la volontà che quanti dovessero essere individuati come responsabili vengano puniti in sede penale, con riserva di costituzione di parte civile.
Con riguardo, in particolare, al delitto di cui all’articolo 615-ter cp, si fa presente che, come noto, la piattaforma Rousseau viene utilizzata dal MoVimento 5 Stelle per la pubblicazione e diffusione dei programmi e per le corrispondenti votazioni da parte degli iscritti: ciò che indubbiamente ne palesa un “interesse pubblico” ai sensi del comma 3 con conseguente procedibilità d’ufficio. A tale riguardo, si consideri pure, nel caso, la contestazione dell’illecito amministrativo dipendente da tale reato a carico di enti responsabili ex art. 24-bis d.lgs. 231/2001.
Si chiede inoltre che vengano accertate eventuali responsabilità, ad esempio a titolo di ricettazione ex art. 648 cp, da parte di eventuali acquirenti, a qualsiasi titolo, di quanto illecitamente sottratto dal sito Rousseau, previa loro individuazione. A tale riguardo, si consideri pure, nel caso, la contestazione dell’illecito amministrativo dipendente da tale reato a carico di enti responsabili ex art. 25-octies d.lgs. 231/2001.
Si fa, infine, riserva di produrre ulteriore documentazione comprovante i fatti denunciati e/o di rendere sommarie informazioni ai sensi degli art. 351 e/o 362 cpp (ove richiesto) o, comunque, di integrare la presente denuncia.

Il caos è bello grosso. Perché il Garante della Privacy indaga sulla vulnerabilità del sistema Rousseau, su come vengono gestiti i dati. Di Maio vuole i “mandanti”. Dal MoVimento si dicono pronti a ritirare la querela qualora vi fossero state buone intenzioni. La querela rimane solo per Evariste.

LEGGI ANCHE > «Noi non siamo Rousseau», la Casaleggio vuole querelare chi fa confusione sul Movimento 5 Stelle

Le mail tra lo studente e i vertici di Rousseau, che il Foglio ha potuto anticipare, denotano la grande confusione in quel di Milano. Ora la parola spetta al giudice. Anche perché chi ha bucato denigrando il novello sistema è un altro hacker. Finora senza un nome e senza un volto