In questi giorni ho notato parecchi utenti che non hanno ancora compreso la gravità della situazione in cui si stanno trovando i protagonisti della vicenda dell’hackeraggio di Rousseau e del Blog di Beppe Grillo. Cercherò di spiegarlo in questo articolo fornendo risposta ai diversi dubbi riscontrati. L’articolo potrebbe essere aggiornato con ulteriori domande e risposte.
Cronologia degli eventi principali
Il primo hacker, Evariste Gal0is, pubblica sul proprio sito un resoconto dei problemi legati alla sicurezza della piattaforma Rousseau del Movimento 5 Stelle. Il 3 agosto 2017 alle 18:44 sul Blog delle Stelle viene pubblicato un comunicato dal titolo “La sicurezza di Rousseau” con il quale si vorrebbe rispondere ai problemi segnalati da Evariste, sostenendo però di voler intervenire legalmente nei suoi confronti. Alle ore 21:56 del 3 agosto 2017 compare R0gue_0, il secondo hacker. Sarà lui a pubblicare materiale sensibile prelevato dalla piattaforma del Movimento 5 Stelle e successivamente anche del Blog di Beppe Grillo.
L’otto agosto 2017 il primo hacker, Evariste, dichiara di aver trovato ulteriori falle all’interno di Rousseau sostenendo di averle segnalate ai gestori affinché le potessero risolvere, ma allo stesso tempo annuncia che non presterà più loro aiuto visto il trattamento subito dagli stessi.
I rappresentanti del Movimento 5 Stelle riportano che sarebbero state presentate denunce contro gli hacker presso la procura competente. Oggi, 10 agosto 2017, il Garante annuncia di aver aperto un’istruttoria per indagare su quanto accaduto.
Le votazioni sono garantite da un ente terzo? Anche per la Sicilia e il Programma?
La risposta è “Ni“. Non tutte le votazioni sono state poste sotto il controllo e la certificazione di un ente terzo, soltanto per alcune:
RESTANO SCOPERTE 70 VOTAZIONI. Al momento il Movimento 5 stelle ha commissionato la certificazione del voto sul web soltanto due volte in quattro anni, in occasione delle Quirinarie 2013 e per la votazione del “Non Statuto” nel 2016. In entrambe i casi furono pubblicati, in grassetto sul blog, il nome e la relazione della società terza di controllo (Dnv) che certificava il voto. In tutti gli altri casi (circa 70) mai alcun voto è stato certificato dato che nessuna società terza è stata citata. Quindi, tecnicamente, questi voti potrebbero essere stati suscettibili di manomissione da parte di hacker o della Casaleggio stessa. Ma non lo sapremo mai.
La piattaforma è stata inaugurata nel 2016 in seguito alla scomparsa di Gianroberto Casaleggio, quindi se vogliamo parlare di votazioni certificate da un ente terzo all’interno della stessa ne contiamo una. Inoltre, nei casi del 2013 e del 2016 venne citata la società terza di controllo, ma in quello dell’elezione del candidato Presidente della regione Sicilia? Non pervenuta nel comunicato pubblicato sul Blog delle Stelle, così come nell’annuncio di apertura dei voti. Considerando anche le tempistiche, il voto finale e l’annuncio del vincitore sono avvenuti lo stesso giorno (come annunciato nel comunicato del 7 luglio 2017) al contrario di quanto accaduto per le votazioni dello Statuto nel 2016 (concluse il 26 ottobre pubblicando il risultato certificato due giorni dopo). Se i gestori di Rousseau possono fornirci l’eventuale certificazione fornirebbero un segno di sicurezza agli attivisti siciliani (e non) del Movimento.
Lasciando stare le “votazioni di una certa importanza“, cosa potremmo dire per quelle relative al programma elettorale? Ad esempio, nei comunicati relativi ai risultati delle votazioni per il programma Scuola su Rousseau e il programma Difesa non c’è alcun riferimento ad una certificazione de un ente terzo, eppure non stiamo parlando di scegliere dove andare a cena sabato sera.
L’unico reato lo ha fatto l’hacker?
Assolutamente no. Sebbene l’hacker sia stato denunciato (gli esponenti del M5S hanno dichiarato che è partita la denuncia presso le autorità competenti) a rischiare sono i responsabili del trattamento di dati personali della piattaforma Rousseau e del Blog di Beppe Grillo:
Rousseau: “Titolare del trattamento dei dati è Giuseppe Grillo nato a Genova il 21/7/1948, Casella Postale 1757, 20121 Milano.”
Beppegrillo.it: “Titolare del trattamento ai sensi della normativa vigente è Beppe Grillo, mentre il responsabile del trattamento dei dati è Casaleggio Associati s.r.l. , con sede in Milano, Via G.Morone n. 6, 20121. I dati acquisiti verranno condivisi con il “Blog delle Stelle” e, dunque, comunicati alla Associazione Rousseau, con sede in Milano, Via G. Morone n. 6 che ne è titolare e ne cura i contenuti la quale, in persona del suo Presidente pro-tempore, assume la veste di titolare del trattamento per quanto concerne l’impiego dei dati stessi nell’ambito delle attività del predetto Blog delle Stelle; modalità e finalità del trattamento nonchè ambito di diffusione e comunicazione dei dati da parte della Associazione Rousseau sono i medesimi sopra e di seguito descritti.”
Per farla breve, considerando la normativa vigente (PDF), il titolare del trattamento dei dati personali deve obbligatoriamente per legge adottare le misure minime di sicurezza affinché non ci siano rischi di diffusione non autorizzate dei miei dati (art. 31 e 33 del Decreto legislativo 30 giugno 2003, n. 196). La falla segnalata dagli hacker era la base per un’intrusione, quindi in mancanza di misure di sicurezza adeguate per evitare ciò che è accaduto il titolare rischia di essere punito con il pagamento di una multa (art. 162 del Decreto legislativo 30 giugno 2003, n. 196) da 10 mila euro a 120 mila e una pena detentiva fino a 2 anni (art. 169 del Decreto legislativo 30 giugno 2003, n. 196).
Art.31. Obblighi di sicurezza
1. I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta.
Art.33. Misure minime
1. Nel quadro dei più generali obblighi di sicurezza di cuiall’articolo 31, o previsti da speciali disposizioni, i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell’articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali.
Art. 162. Altrefattispecie
2-bis. In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell’articolo 33 o delle disposizioni indicate nell’articolo 167 è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoventimila euro. Nei casi di cui all’articolo 33 è escluso il pagamento in misura ridotta
Art. 169. Misure di sicurezza
1. Chiunque, essendovi tenuto, omette di adottare le misureminime previste dall’articolo 33 è punito con l’arresto sino a due anni.
Cercare di addossare tutte le colpe all’hacker (il primo o secondo che sia) risulta errato.
Nessun sistema è inviolabile?
Non posso affermarlo con sicurezza, ma sta di fatto che una vulnerabilità che permette l’accesso ad un database tramite una SQL Injection dimostra che mancano le basi per la sicurezza di un sito web, piccolo o grande che sia. Non solo, da gennaio 2017 è stata criticata la mancanza del protocollo di sicurezza HTTPS che persiste tutt’ora dopo la richiesta di cambio password nel Blog di Beppe Grillo. Se poi possiamo accedere a dei dati considerati personali dal garante (come le email) effettuando una semplice ricerca Google (come ho raccontato ieri) non serve essere un hacker.
Quando hanno espulso il sindaco di Avigliana chi ha controllato? Del caso Unicredit ne parliamo?
Vediamo di mettere le cose in chiaro. Si sta parlando di un problema riguardante la sicurezza interna di quello che dovrebbe essere il primo partito d’Italia e probabile partito di Governo, non di un partner esterno di Unicredit (di questo si trattava, non della banca stessa) o del caso relativo al PD nel 2012 di un comune nel torinese (cittadini di Avigliana, non offendetevi e ragionate sul confronto). Non dimenticate, inoltre, che il database prelevato con dati personali e forse anche i voti espressi nella piattaforma (se il database è stato costruito in modo da tenerne traccia verso ogni singolo attivista) sono stati messi in vendita da R0gue_0 e probabilmente acquistati da persone che hanno interesse a farne uso in qualche modo (immaginate non soltanto un avversario politico, dovete considerare anche la possibilità che un attivista voglia farne uso contro un eletto o futuro candidato).