228. Attacco a #Rousseau del Movimento 5 Stelle: tutto quello che dovete sapere

Ho parlato delle recenti problematiche di sicurezza che hanno colpito la piattaforma Rousseau del Movimento 5 Stelle. Un white hat, noto come Evaris Galois, ha segnalato delle vulnerabilità di "SQL injection" che permettono l'accesso non autorizzato al database dell'applicazione. Queste vulnerabilità sono sintomo di una programmazione carente e indicano che potrebbero essercene molte altre all'interno del sistema.

Dopo la segnalazione, il sito di Evaris Galois è stato oscurato, ma non per contromisure efficaci, come dichiarato dal movimento, bensì per decisione dello stesso Evaris a causa dell'eccessiva attenzione ricevuta. Nonostante le dichiarazioni del Movimento 5 Stelle, il sito e gli account di Evaris sono tornati online.

Un altro esperto di sicurezza ha pubblicato dati sensibili degli utenti di Rousseau, confermando che un accesso amministrativo non autorizzato è stato possibile per mesi. Questi dati, messi in vendita per circa 1000 euro, includono informazioni personali, donazioni e preferenze politiche degli attivisti, sollevando gravi preoccupazioni sulla privacy e la sicurezza.

È improbabile che l'accesso al database sia stato solo in lettura; se fosse stato anche in scrittura, tutte le votazioni passate potrebbero essere state manipolate. La fiducia nella piattaforma è ulteriormente minata dalla reazione del movimento, che ha preferito denunciare la vulnerabilità piuttosto che affrontarla trasparentemente.

Queste questioni sollevano dubbi sull'affidabilità di un sistema che dovrebbe garantire la sicurezza e la trasparenza della e-democracy. Quando qualcuno ha il controllo del database, il processo democratico è compromesso, e la fiducia nel sistema viene meno.