Nell’articolo del 24 settembre 2017 del Corriere della Sera, dal titolo “M5S, parla il pirata anti-Rousseau: «Così ho mostrato la loro incapacit໓, l’attivista Davide Gatto conferma l’utilizzo improprio del suo account all’interno della piattaforma di voto Rousseau del Movimento 5 Stelle:
«Confermo che qualcuno ha scoperto la mia password e l’ha usata per loggarsi: i gestori della piattaforma mi hanno aiutato a ripristinare l’account», dichiara Gatto al Corriere. «L’intruso aveva cambiato il numero di telefono usato per l’autenticazione. Procederò con una denuncia alla Polizia postale. Io non avevo votato perché ero a Rimini e dal cellulare non riuscivo», aggiunge.
«Per aggirare l’autenticazione in due passaggi con l’Sms l’hacker potrebbe aver modificato i dati di movimento5stelle.it, cui la piattaforma è collegata», ipotizza David Puente, debunker ed ex Casaleggio Associati. «Ho avuto accesso ai dati per tutto questo tempo», ci ha detto R0gue_0 rimarcando che la vulnerabilità di Rousseau emersa due mesi fa, su cui sta indagando il Garante della privacy, non è stata risolta.
Insomma, secondo Davide Gatto l’hacker avrebbe scoperto la sua password per poi modificare, una volta loggato, il numero di cellulare utile per ricevere l’SMS il codice di sicurezza per il “doppio passaggio“.
La prima domanda è: come può aver scoperto la password? Probabilmente gli utenti erano già iscritti al Blog di Beppe Grillo, dove erano in chiaro, e a tentativi può aver riscontrato che le stesse password (o loro varianti) venivano usate anche per accedere a Rousseau e al sito Movimento5stelle.it.
La seconda domanda è: dovendo inserire un numero di telefono valido sarebbe possibile rintracciarlo? Domanda interessante, ma usare un numero di telefono rintracciabile sarebbe un clamoroso autogol da parte dell’hacker. La spiegazione, in realtà, è molto semplice.
Ecco l’SMS che viene inviato a chi desidera accedere con il proprio account alla piattaforma di voto Rousseau:
Questo e’ il codice di conferma del tuo numero di telefono: XXXXX . Inseriscilo nel campo per confermare l’accesso a Rousseau
Cercando online il testo “Questo e’ il codice di conferma del tuo numero di telefono” ho riscontrato alcuni servizi di ricezione SMS gratuiti come Free-receive-sms-online.com con il tag Movimento5S con alcuni messaggi e codici richiesti nel mese di agosto 2017:
Dal sito Sms-receive.net troviamo alcuni SMS inviati tre giorni fa (quando leggerete questo articolo sarà lunedì 25 settembre, troverete quindi la scritta “4 days ago” nel sito):
Ce ne sono diversi, rintracciabili tramite questa semplice ricerca Google:
È probabile che i codici ricevuti su Sms-receive.net siano quelli utilizzati da R0gue_0, peccato che il sito non fornisca un orario preciso per ogni SMS ricevuto che permetta di confrontarlo con gli orari di accesso alla piattaforma (confronto che potrebbero fare soltanto i gestori).
