Dr Commodore
LIVE

Hack5Stelle, esposti credenziali e database del Blog del M5S

Il Movimento 5 Stelle ha sempre trattato il progresso tecnologico come un cavallo di battaglia della campagna elettorale. Sin da prima delle elezioni politiche italiane del 2018, Luigi Di Maio e Davide Casaleggio hanno parlato di investimenti su blockchain (sfruttando anche il boom dei Bitcoin, ndr) e dell’implementazione di nuove tecnologie nella rete italiana, per fornire la massima sicurezza possibile a ogni utente. Questa sicurezza, però, manca nei siti stessi del M5S, come hanno mostrato via Twitter gli hacker di Hack5Stelle.

Grandi falle, grandi rischi

Oggi su Twitter è apparso un nuovo account chiamato Hack5Stelle – @Hack5S – che, come deducibile dal nome stesso, ha esposto un grave problema presente nel sito del blog del partito.

https://twitter.com/Hack5S/status/1168856282704568321

Come si può vedere dai tweet inviati, con un GIT extractor è possibile accedere alle informazioni relative all’account PayPal, account bancario e altre credenziali dei profili del Movimento 5 Stelle. Cos’è un GIT extractor? Detto brevemente e in termini semplici, è uno script che ripristina un repository, ovvero un deposito di dati e file relativi ad un progetto (in questo caso, il sito delle donazioni del M5S). Con questo strumento hanno quindi recuperato la cronologia delle modifiche al repo e tutti i file associati. Tra questi, le configurazioni e le credenziali di accesso a molti servizi sfruttati dal partito.

La diffusione di queste scoperte, secondo le dichiarazioni degli hacker sul loro sito hack5stelle, non vuole essere un attacco politico:

“Questa pagina era stata aperta per segnalare il possibile rischio di una perdita di dati da un sito importante come la piattaforma Rousseau. La notizia ha ricevuto una visibilità che non aspettavo, uscendo presto dai binari su cui era stata indirizzata: l’avvertimento sul rischio di una perdita di dati e il diritto degli utenti a sapere di ciò.”

I gestori di Hack5Stelle hanno poi espresso nelle FAQ la loro preoccupazione per un eventuale furto di dati da parte di altri malintenzionati. Secondo loro non è questo il caso, ma avvertono comunque di cambiare – come da prassi – le credenziali del sito, sia agli utenti (ovvero gli iscritti al partito e i donatori) che ai proprietari, ovvero il partito stesso.

https://twitter.com/Hack5S/status/1168856287955881986

Hack5Stelle mostra l’ennesimo problema di Rousseau

I tweet sono apparsi nel giorno migliore, si potrebbe dire: oggi infatti gli iscritti al M5S dovranno votare nella piattaforma per sostenere o meno il nuovo governo M5S-PD guidato da Giuseppe Conte. Rousseau già in precedenza aveva mostrato molte vulnerabilità (ricordiamo gli attacchi da parte dei white hats rogue0 ed evariste.gal0is nel 2017) e il Garante per la Privacy, Antonello Soro, aveva già multato il partito per queste falle di sicurezza estremamente gravi.

Gli attacchi precedenti, però, a quanto pare non sono stati molto di lezione per i tecnici pentastellati, che non hanno sistemato adeguatamente i propri siti. Magari questa volta faranno più attenzione, chissà. E cambieranno la loro password da “M0v1m3ntOcinqueS74r” a qualcosa di più sicuro.

FONTE

Per rimanere informati sul mondo nerd, continuate a seguirci sul nostro sito DrCommodore.it e su FacebookInstagramTelegramYouTubeDiscordSteam e Twitch.

Articoli correlati

Francesco Santin

Francesco Santin

Studente di Scienze Internazionali e Diplomatiche, ex telecronista di Esports, giocatore semi-professionista e amministratore di diversi siti e community per i quali ho svolto anche l'attività di editor e redattore.

Condividi