Durante il weekend, ho scoperto di essere finito su diverse testate giornalistiche a causa di un'analisi sull'infrastruttura di Smartmatic, in seguito a dichiarazioni di Maroni riguardanti attacchi hacker. Ho individuato un server di revision control aperto a internet senza protezioni di autenticazione, contenente script che indicavano la presenza di ulteriori repository su S3 di Amazon e su un file server. Questi repository contenevano codici e dati che potrebbero essere di grande importanza.
Ho segnalato la vulnerabilità a CertPA, l'organismo responsabile per le segnalazioni di questo tipo alle pubbliche amministrazioni. Attualmente, sono in attesa di una risposta ufficiale da parte loro e della società coinvolta. La questione principale non è tanto il contenuto del server stesso, quanto il fatto che gli script puntavano a risorse esterne contenenti informazioni critiche, come chiavi e certificati per il deployment, che non dovrebbero essere accessibili pubblicamente.
La sicurezza dei sistemi di voto elettronico è un tema delicato. Sebbene Maroni abbia ragione nel dire che hackerare le elezioni in pochi secondi all'interno di una cabina elettorale sia improbabile, il vero rischio risiede nella possibilità che qualcuno abbia avuto accesso alla documentazione e ai dati molto tempo prima, permettendo un'eventuale preparazione per un attacco mirato.
Nel frattempo, ci sono state segnalazioni di problemi hardware non correlati al voto elettronico, e sto aspettando ulteriori sviluppi. Ringrazio tutti coloro che mi hanno contattato e inviato articoli di giornale. La mia analisi è ancora in corso, in attesa di risposte ufficiali che determineranno le mie prossime mosse.
In questa Puntata
Un'analisi dettagliata dell'infrastruttura di Smartmatic ha rivelato la presenza di un server di revision control accessibile senza autenticazione, contenente script che puntavano a repository esterni con dati potenzialmente sensibili. La situazione solleva preoccupazioni sulla sicurezza dei sistemi di deployment utilizzati per le elezioni e sull'integrità dei processi di installazione, in assenza di controlli formali sulle modifiche.