Nuovo attacco hacker ai danni della piattaforma Rousseau da parte di R0gue_0, il pirata informatico che già lo scorso anno aveva bucato la piattaforma di Davide Casaleggio, condividendo sul suo profilo Twitter due link che indirizzano al sito Privatebin.net, dove sono stati pubblicati dati relativi al database del Movimento, in particolare una lista di donatori.
Ancora una brutta tegola per la piattaforma Rousseau in piena era di GDPR, con il nuovo attacco hacker che, come già avvenuto in passato, arriva alla vigilia di una doppia votazione online fissata per oggi per le “regionarie” in Abruzzo, una su Lex Iscritti, le proposte di legge in materia di digitale presentate dalla base e arrivate alla dodicesima consultazione online, e poi la selezione per un nuovo componente del collegio dei probiviri.
A questo punto, in base alle nuove norme in vigore del GDPR, Casaleggio Associati ha 72 ore di tempo dal momento dell’attacco per notificare al Garante Privacy il data breach in base all’articolo 33 del nuovo regolamento europeo sulla Data Protection appena pubblicato in Gazzetta Ufficiale.
Intanto, dagli uffici del Garante Privacy, interpellati da Key4biz, fanno sapere di aver avviato le prime verifiche, anche al fine di valutare se il data breach sia stato determinato dalle medesime cause riscontrate in passato, già oggetto di un provvedimento del Garante, o a quali altre cause sia dovuto.
Uno dei due link rimanderebbe a una lista di donazioni effettuate lo scorso luglio con nomi, cognomi, importi e email visibili in chiaro. L’altro link condiviso da Rogue0 porterebbe a una lista di tabelle recenti presenti all’interno del database di Rousseau.
Big news & #tables at #Rousseau Market , collection #Summer2k18 is out!
Great & Useless changes from #casaleggio, for a nice low price!
New tables, new #Hash , phones, emails… and so,@casaleggio ?https://t.co/L5srTaSTdP#M5S #GDRP#pisQAnon is better than nothing#APT0— rogue0 (@r0gue_0) 5 settembre 2018
Intanto su Twitter e sui social polemiche accese.
Traduzione: @r0gue_0 pubblica quella che sostiene essere una lista recente di tabelle sul database di #Rousseau. Ovviamente non possiamo avere la controprova, ma le tabelle rsu_academy_proponi_corso e rsu_candidati_2018 fanno sospettare che non stia bluffando. https://t.co/DiWWotAYIW
— Marco Canestrari (@marcocanestrari) 5 settembre 2018
Non sembra casuale da parte dell’hacker il riferimento al GDPR, tanto più che il Garante Privacy era già intervenuto dopo il data breach subito dalla piattaforma ai primi di agosto del 2017, mettendone in evidenza la vulnerabilità in termini di sicurezza, obsolescenza e tracciamento digitale del nominativo e del cellulare dei votanti online. Il Garante aveva dettato una serie di azioni da intraprendere per rafforzare la sicurezza di Rousseau, e in seguito Casaleggio aveva garantito il 20 febbraio scorso l’implementazione delle azioni richieste.
Ma il Garante Privacy il 16 maggio aveva riscontrato che la piattaforma Rousseau era ancora vulnerabile a possibili attacchi informatici e il voto online degli iscritti al Movimento 5 Stelle non è ancora sicuro, gettando più di un’ombra sul voto online della base grillina, previsto per il 30 maggio scorso, sul Contratto di Governo Lega-M5 Stelle.
I problemi riscontrati dal Garante Privacy
Diversi i problemi di sicurezza riscontrati dal Garante Privacy dopo aver analizzato le misure di sicurezza comunicate da Davide Casaleggio il 20 febbraio scorso e già adottate dalla piattaforma per rispondere ai diversi attacchi hacker subiti nell’ultimo anno, a partire dalla lunghezza e della qualità delle password. “Le nuove misure (più stringenti ndr) non possono essere limitate ai nuovi iscritti e agli interessati che spontaneamente modifichino la loro password. Occorre piuttosto intraprendere una campagna di invito alla modifica della password nei confronti degli interessati già iscritti, prevedendo l’obbligo di attuare tale modifica alla prima sessione di collegamento utile attivata con credenziali (tuttora) deboli”. Per questo procedimento, dopo la richiesta di proroga, la Casaleggio Associati ha tempo fino al 30 settembre per presentare le misure idonee richieste dal Garante.
I possibili sviluppi
Se attraverso il portale del Movimento 5 Stelle e la piattaforma ‘Rousseau’ è stato commesso un trattamento illecito dei dati personali degli iscritti resta da capire se siano valide tutte le votazioni svolte online, dalle parlamentarie del 2012 alle ultime che hanno decretato Luigi Di Maio candidato premier del Movimento. E’ per questo che si attendono la conclusione dei procedimenti avviati dal Garante Privacy per conoscere le eventuali sanzioni amministrative e nel caso di fattispecie penale sarà allora l’autorità giudiziaria a pronunciarsi. Il giudice potrebbe anche dichiarare non valide tutte le votazioni indette dal Movimento online? Può sembrare fantapolitica o dietrologia, ma è una domanda lecita visto il provvedimento del Garante che attende risposte entro il 30 settembre.
