R0gue_0 ha usato il suo numero di telefono per accedere a Rousseau? No, vi spiego perché

Dal 23 gennaio 2018 il mio blog non ha più banner pubblicitari e viene sostenuto dalle vostre donazioni che potete inviare qui: https://www.paypal.me/DavidPuenteit

Nell’articolo del 24 settembre 2017 del Corriere della Sera, dal titolo “M5S, parla il pirata anti-Rousseau: «Così ho mostrato la loro incapacit໓, l’attivista Davide Gatto conferma l’utilizzo improprio del suo account all’interno della piattaforma di voto Rousseau del Movimento 5 Stelle:

«Confermo che qualcuno ha scoperto la mia password e l’ha usata per loggarsi: i gestori della piattaforma mi hanno aiutato a ripristinare l’account», dichiara Gatto al Corriere. «L’intruso aveva cambiato il numero di telefono usato per l’autenticazione. Procederò con una denuncia alla Polizia postale. Io non avevo votato perché ero a Rimini e dal cellulare non riuscivo», aggiunge.

«Per aggirare l’autenticazione in due passaggi con l’Sms l’hacker potrebbe aver modificato i dati di movimento5stelle.it, cui la piattaforma è collegata», ipotizza David Puente, debunker ed ex Casaleggio Associati. «Ho avuto accesso ai dati per tutto questo tempo», ci ha detto R0gue_0 rimarcando che la vulnerabilità di Rousseau emersa due mesi fa, su cui sta indagando il Garante della privacy, non è stata risolta.

Insomma, secondo Davide Gatto l’hacker avrebbe scoperto la sua password per poi modificare, una volta loggato, il numero di cellulare utile per ricevere l’SMS il codice di sicurezza per il “doppio passaggio“.

La prima domanda è: come può aver scoperto la password? Probabilmente gli utenti erano già iscritti al Blog di Beppe Grillo, dove erano in chiaro, e a tentativi può aver riscontrato che le stesse password (o loro varianti) venivano usate anche per accedere a Rousseau e al sito Movimento5stelle.it.

La seconda domanda è: dovendo inserire un numero di telefono valido sarebbe possibile rintracciarlo? Domanda interessante, ma usare un numero di telefono rintracciabile sarebbe un clamoroso autogol da parte dell’hacker. La spiegazione, in realtà, è molto semplice.

Ecco l’SMS che viene inviato a chi desidera accedere con il proprio account alla piattaforma di voto Rousseau:

Questo e’ il codice di conferma del tuo numero di telefono: XXXXX . Inseriscilo nel campo per confermare l’accesso a Rousseau

Cercando online il testo “Questo e’ il codice di conferma del tuo numero di telefono” ho riscontrato alcuni servizi di ricezione SMS gratuiti come Free-receive-sms-online.com con il tag Movimento5S con alcuni messaggi e codici richiesti nel mese di agosto 2017:

La schermata di Free-receive-sms-online con gli SMS ricevuti per accedere al sito del M5S

Dal sito Sms-receive.net troviamo alcuni SMS inviati tre giorni fa (quando leggerete questo articolo sarà lunedì 25 settembre, troverete quindi la scritta “4 days ago” nel sito):

Due SMS richiesti 3 giorni fa per accedere a Rousseau

Ce ne sono diversi, rintracciabili tramite questa semplice ricerca Google:

La ricerca Google “Inseriscilo nel campo per confermare l’accesso a Rousseau”

È probabile che i codici ricevuti su Sms-receive.net siano quelli utilizzati da R0gue_0, peccato che il sito non fornisca un orario preciso per ogni SMS ricevuto che permetta di confrontarlo con gli orari di accesso alla piattaforma (confronto che potrebbero fare soltanto i gestori).

David Puente

Nato a Merida (Venezuela), vive in Italia dall'età di 7 anni. Laureato presso l'Università degli Studi di Udine, opera nel campo della comunicazione e della programmazione web.
REGOLAMENTO DELLA DISCUSSIONE
Non sono consentiti:
- messaggi off-topic (tradotto: non inerenti al tema trattato)
- messaggi anonimi (registratevi almeno a Disqus)
- messaggi pubblicitari o riportanti link truffaldini (verranno sempre moderati i commenti contenenti link esterni)
- messaggi offensivi o contenenti turpiloquio
- messaggi razzisti o sessisti
- messaggi il cui contenuto costituisce una violazione delle leggi italiane (istigazione a delinquere o alla violenza, diffamazione, ecc.)
Se vuoi discutere in maniera costruttiva ed educata sei il benvenuto, mentre maleducati, fanatici ed esaltati sono cortesemente invitati a commentare altrove.
Comunque il proprietario di questo blog potrà in qualsiasi momento, a suo insindacabile giudizio, cancellare i messaggi che violeranno queste semplici regole. I maleducati (soprattutto se anonimi) verranno bloccati. In ogni caso il proprietario del blog non potrà essere ritenuto responsabile per eventuali messaggi lesivi di diritti di terzi.

Regolamento in vigore dal 5 settembre 2016 - Aggiornato 26 agosto 2017.