Ieri sera un utente di nome Riccardo mi domanda via Twitter se avevo ricevuto comunicazione da parte del Blog di Beppe Grillo in merito al cambio password:
Riccardo: “Che tu sappia: hanno inviato mail agli utenti notificando la breach avvenuta? Chiedo anche a te @DavidPuente che hai l’account coinvolto”
David: “Non ho ricevuto comunicazioni in merito al problema di sabato sera.“
Questa mattina ricevo finalmente un’email che, secondo la home di GMAIL è pervenuta alle 9:22 nella mia casella di posta:
Finalmente, dopo che R0gue_0 aveva pubblicato sabato sera le mie credenziali in chiaro, è stata inviata un’email per avvisare gli utenti. Meglio tardi che mai potrebbe dire qualcuno. Tuttavia sorge un problema: Gmail mi segnala un problema di sicurezza informandomi che Beppegrillo.it non ha criptato il messaggio.
Lo stesso Gmail ci fornisce “ulteriori informazioni” presenti nella relativa area di supporto tecnico:
La posta non criptata non è sicura. I vecchi messaggi inviati al dominio del destinatario vengono utilizzati per prevedere se il messaggio che stai inviando sarà criptato in modo affidabile.
Vedo l’icona del lucchetto rosso
Se vedi l’icona di un lucchetto rosso mentre scrivi un messaggio, valuta se sia il caso di rimuovere gli indirizzi di determinati destinatari o di eliminare le informazioni riservate. Per vedere quali indirizzi non sono criptati, fai clic su Visualizza dettagli.Se ricevi un messaggio con l’icona di un lucchetto rosso e il messaggio ha contenuti particolarmente sensibili, comunicalo al mittente in modo che possa contattare il suo provider di servizi email.
Non è un bel biglietto da visita per un sito di tale importanza nel 2017, c’è da dire che anche l’indirizzo per il cambio della password non è presente il protocollo di sicurezza SSL (per farla semplice a tutti gli utenti, l’indirizzo riporta l’HTTP senza la “S” finale):
Anche Google Chrome mi segnala il Blog di Beppe Grillo come non sicuro:
A quel punto ho pensato che ci fosse anche qualche problema di reindirizzamento da HTTP ad HTTPS, ma provando ho notato qualcosa di strano. Per essere sicuro ho chiesto agli utenti via Twitter cosa succedeva loro se digitavano sul proprio browser l’indirizzo HTTPS://WWW.BEPPEGRILLO.IT e devo dire che le risposte sono soltanto di conferma.
Ecco la risposta di Giovanni che fornisce il classico messaggio di navigazione non protetta da parte del suo browser:
Ecco la risposta di Freemind81 dove mostra un evidente reindirizzamento all’indirizzo “https://www.beppegrillo.it/votazioni/index.php“.
Che senso ha che l’indirizzo digitato rimandi ad un altro che riporta la dicitura “Votazioni“? Cos’è quella pagina? Tutto bene?
Di tutto questo se ne era accorto l’utente RAW con questo suo tweet dove riporta ancora la richiesta della lunghezza della password:
3/3b Confermato invio Mail cambio password blog BG per alcuni utenti – pagina NO HTTPS (ehm) – http://www.beppegrillo.it/change_password_iscrizione.php … – Nuova pwd 8-10 char
Già a gennaio se ne erano occupati Paolo Attivissimo e Fabrizio Carimati.
Sono consapevole che i soliti noti pretenderanno di minimizzare anche questo problema di sicurezza, ma la fede è più forte di loro e bisogna in qualche modo (sforzandosi) comprenderli.
[AGGIORNAMENTO 10 agosto 2017]
Ho provato a richiedere la password attraverso il loro tool di recupero. Mi hanno inviato un’email con la mia password in chiaro. Avrei preferito venire reindirizzato in una pagina dove inserire una nuova password confermando la ricezione dell’email.
