Arrivano le email per modificare le password del blog di Beppe Grillo, ma senza il protocollo di sicurezza e altro

Ieri sera un utente di nome Riccardo mi domanda via Twitter se avevo ricevuto comunicazione da parte del Blog di Beppe Grillo in merito al cambio password:

Riccardo:Che tu sappia: hanno inviato mail agli utenti notificando la breach avvenuta? Chiedo anche a te @DavidPuente che hai l’account coinvolto

David:Non ho ricevuto comunicazioni in merito al problema di sabato sera.

Questa mattina ricevo finalmente un’email che, secondo la home di GMAIL è pervenuta alle 9:22 nella mia casella di posta:

L’orario di ricezione su Gmail (9:22)

Finalmente, dopo che R0gue_0 aveva pubblicato sabato sera le mie credenziali in chiaro, è stata inviata un’email per avvisare gli utenti. Meglio tardi che mai potrebbe dire qualcuno. Tuttavia sorge un problema: Gmail mi segnala un problema di sicurezza informandomi che Beppegrillo.it non ha criptato il messaggio.

L’avviso di Gmail

Lo stesso Gmail ci fornisce “ulteriori informazioni” presenti nella relativa area di supporto tecnico:

La posta non criptata non è sicura. I vecchi messaggi inviati al dominio del destinatario vengono utilizzati per prevedere se il messaggio che stai inviando sarà criptato in modo affidabile.
Vedo l’icona del lucchetto rosso
Se vedi l’icona di un lucchetto rosso mentre scrivi un messaggio, valuta se sia il caso di rimuovere gli indirizzi di determinati destinatari o di eliminare le informazioni riservate. Per vedere quali indirizzi non sono criptati, fai clic su Visualizza dettagli.

Se ricevi un messaggio con l’icona di un lucchetto rosso e il messaggio ha contenuti particolarmente sensibili, comunicalo al mittente in modo che possa contattare il suo provider di servizi email.

Non è un bel biglietto da visita per un sito di tale importanza nel 2017, c’è da dire che anche l’indirizzo per il cambio della password non è presente il protocollo di sicurezza SSL (per farla semplice a tutti gli utenti, l’indirizzo riporta l’HTTP senza la “S” finale):

L’indirizzo per il cambio della password senza l’HTTPS

Anche Google Chrome mi segnala il Blog di Beppe Grillo come non sicuro:

Chrome segnala Beppegrillo.it come non sicuro.

A quel punto ho pensato che ci fosse anche qualche problema di reindirizzamento da HTTP ad HTTPS, ma provando ho notato qualcosa di strano. Per essere sicuro ho chiesto agli utenti via Twitter cosa succedeva loro se digitavano sul proprio browser l’indirizzo HTTPS://WWW.BEPPEGRILLO.IT e devo dire che le risposte sono soltanto di conferma.

L’immagine usata per chiedere aiuto agli utenti

Ecco la risposta di Giovanni che fornisce il classico messaggio di navigazione non protetta da parte del suo browser:

Messaggio browser: “Questa connessione non è sicura”

Ecco la risposta di Freemind81 dove mostra un evidente reindirizzamento all’indirizzo “https://www.beppegrillo.it/votazioni/index.php“.

Il tweet di Freemind81

Che senso ha che l’indirizzo digitato rimandi ad un altro che riporta la dicitura “Votazioni“? Cos’è quella pagina? Tutto bene?

Di tutto questo se ne era accorto l’utente RAW con questo suo tweet dove riporta ancora la richiesta della lunghezza della password:

3/3b Confermato invio Mail cambio password blog BG per alcuni utenti – pagina NO HTTPS (ehm) – http://www.beppegrillo.it/change_password_iscrizione.php … – Nuova pwd 8-10 char

Già a gennaio se ne erano occupati Paolo Attivissimo e Fabrizio Carimati.

Sono consapevole che i soliti noti pretenderanno di minimizzare anche questo problema di sicurezza, ma la fede è più forte di loro e bisogna in qualche modo (sforzandosi) comprenderli.

[AGGIORNAMENTO 10 agosto 2017]

Ho provato a richiedere la password attraverso il loro tool di recupero. Mi hanno inviato un’email con la mia password in chiaro. Avrei preferito venire reindirizzato in una pagina dove inserire una nuova password confermando la ricezione dell’email.

La richiesta della password e l’invio via email in chiaro

David Puente

Nato a Merida (Venezuela), vive in Italia dall’età di 7 anni. Laureato presso l’Università degli Studi di Udine, opera nel campo della comunicazione e della programmazione web.

REGOLAMENTO DELLA DISCUSSIONE
Non sono consentiti:
- messaggi off-topic (tradotto: non inerenti al tema trattato)
- messaggi anonimi (registratevi almeno a Disqus)
- messaggi pubblicitari o riportanti link truffaldini (verranno sempre moderati i commenti contenenti link esterni)
- messaggi offensivi o contenenti turpiloquio
- messaggi razzisti o sessisti
- messaggi il cui contenuto costituisce una violazione delle leggi italiane (istigazione a delinquere o alla violenza, diffamazione, ecc.)
Se vuoi discutere in maniera costruttiva ed educata sei il benvenuto, mentre maleducati, fanatici ed esaltati sono cortesemente invitati a commentare altrove.
Comunque il proprietario di questo blog potrà in qualsiasi momento, a suo insindacabile giudizio, cancellare i messaggi che violeranno queste semplici regole. I maleducati (soprattutto se anonimi) verranno bloccati. In ogni caso il proprietario del blog non potrà essere ritenuto responsabile per eventuali messaggi lesivi di diritti di terzi.

Regolamento in vigore dal 5 settembre 2016 - Aggiornato 26 agosto 2017.