Rousseau è così bello che è bastato poco per hackerarlo

Tenero come un grissino, direbbero in una celebre pubblicità. Ed effettivamente Rousseau, piattaforma on line dei 5 stelle (oggi aperta anche ai non iscritti) è molto vulnerabile. O perlomeno lo era. Qualcuno ha provato a bucarlo e ci ha fatto un sito sopra. Un sito per spiegare perché lo ha fatto. E per avvisare più persone possibili:

Non è un attacco politico
Voglio mettere in chiaro fin da subito una questione: questo non è un attacco politico.

Ho aperto questo sito solamente per avvisare gli iscritti al sito rousseau.movimento5stelle.it che, a causa di una variabile vulnerabile a SQL injection, i loro dati sensibili sono potenzialmente a rischio. Ho avvisato via e-mail i gestori del sito della vulnerabilità trovata che mi hanno risposto che stanno lavorando per risolvere il problema, in questo momento la variabile non mi sembra più vulnerabile. Non scriverò qual era la variabile vulnerabile. Non escludo possano esserci ulteriori vulnerabilità o errori nel sito.

Non farò nessun particolare riferimento alla politica, nessun confronto con altri partiti, e non voglio assolutamente essere tirato in ballo in questi dibattiti futuri, se dovessero esserci. Non diffondo queste informazioni per screditare un partito, o per antipatia verso di esso, e non sono stato pagato da nessuno per trovare una vulnerabilità nel sito. Semplicemente l’ho trovata, e penso che sia corretto avvisare gli iscritti di una tale, potenziale, perdita di dati e informazioni riservate.

Il sito si chiama Hack 5 stelle e spiega passo per passo dove è la vulnerabilità. La sua azione sta diventando a suo modo virale. Le info vengono diffuse da @evaristegal0is, Luigi.

5stelle, voto con password limitata a *massimo” 8 caratteri e vulnerabile a SQL injection. Veri maestri. https://t.co/6H3s9JKMLZ

— Paolo Attivissimo (@disinformatico) 2 agosto 2017

Come è stato attaccato Rousseau? L’hacker ha usato il metodo SQL injection.

Un attacco di tipo SQL injection ha come obiettivo quello di ottenere informazioni riservate da un database, inviando delle query, attraverso una variabile input non controllata. Non essendoci sufficienti controlli sui valori e caratteri immessi in una variabile input vulnerabile è possibile eseguire dei comandi e ricevere risposte dal database senza avere i privilegi necessari. È uno degli attacchi più comuni verso i siti web, ed è reso piuttosto facile da un programma chiamato SQLmap, che io stesso ho utilizzato.

Usando il tool SQLmap ho avuto conferma della sospetta vulnerabilità e impartendo pochi comandi è stato possibile avere accesso ai database. Non avevo i privilegi d’amministratore, ma ho avuto comunque accesso a numerose informazioni riservate.

Con questo attacco era possibile vedere chi aveva fatto le donazioni on line: nome, cognome, e-mail, città, importo, tipologia di pagamento.
Ma…. c’è di peggio.

PIATTAFORMA ROUSSEAU E LA PASSWORD PER POLLI

L’hacker in questione – secondo quanto sostanzialmente afferma nel sito – ha avuto accesso a diverse informazioni sensibili che un iscritto immette al momento della registrazione o della candidatura. «La tabella riguardante gli iscritti –
spiega – contiene 72 entrate». Anche le tabelle che riguardano le votazioni online (voting_votazioni o voting_votazioni_vote). «Questo, per ora – aggiunge – non rende sicuro il sistema di votazione online adottato». Anche perché un dettaglio non da poco è la possibilità di metter una password di 8 caratteri sul sito.  Basta un programma, John the Ripper, per avere una lista di 99999999 numeri (e combinazioni). Risultato?  136 password craccate in 21 ore su un campione casuale di 2517: il 5,40%delle password analizzate.

Cosa fare ora? «Cambiare la password dell’account», spiegano dal sito. «Inoltre sarebbe utile cambiare le password della e-mail con cui ci si è registrati e dei vari profili social, specialmente se all’interno di queste password avete usato dati personali come data di nascita o altre informazioni personali».

(in copertina Davide Casaleggio lascia la Stampa Estera dopo la presentazione della nuova versione della piattaforma Rousseau a Roma, 2 agosto 2017.
ANSA/MAURIZIO BRAMBATTI)