Il caso Evariste e Rousseau: un anno da Hack5Stelle

Ho deciso che dal 23 gennaio 2018 il mio blog non avrà più banner pubblicitari e sarà sostenuto dalle vostre donazioni che potete inviare qui: https://www.paypal.me/DavidPuenteit

Toc toc! Chiedo scusa, vorrei aiutarvi“.

31 luglio 2018, ore 16:46. È passato un anno esatto da quando Luigi, noto come “Evariste Gal0is“, aveva avvisato via email i responsabili di Rousseau in merito ad una vulnerabilità grave presente nella loro piattaforma. Un atto di cortesia, una consulenza di sicurezza informatica completamente gratuita dettata dal desiderio di dare una mano. Gesto che viene apprezzato dallo “Staff” dei pentastellati, i quali chiedono all’esperto ulteriori verifiche. Via libera, dunque.

Uno scambio di email cordiale, pacato, di estrema collaborazione tra le parti al fine di proteggere i dati personali degli utenti. Evariste, con l’educazione che lo contraddistingue, li avvisa (in più occasioni e senza essere contraddetto) che divulgherà l’esistenza di tali vulnerabilità una volta che risulteranno corrette. Il tutto viene pubblicato in un blog chiamato “Hack5stelle“, nome che poi verrà usato come parola chiave per i successivi avvenimenti (qui trovate tutti gli articoli che ho scritto con quel tag).

Poi arriva R0gue_0, un trolleggiante black hat che infastidito dall’azione positiva e volontaria di Evariste decide di attaccarlo e pubblicare i dati in suo possesso (di Rogue_0) prelevati dalla piattaforma del partito. A questo punto parte la confusione, Evariste decide di oscurare il suo profilo Twitter per difendersi dagli attacchi psicologici che stava subendo e il suo blog “Hack5stelle” viene temporaneamente oscurato dalla piattaforma che lo ospitava a causa delle numerose visite.

Il Movimento 5 Stelle, attraverso il Blog delle Stelle e la pagina Facebook ufficiale, annuncia di voler valutare azioni legali contro Evariste. Un comunicato che crea confusione, perché senza specificare bene i nomi rischiava di far intendere agli utenti che l’hacker “cattivo” fosse lui.

Nonostante ciò, la mattina del 5 agosto 2017 Evariste contatta nuovamente lo Staff per segnalare altre vulnerabilità. Lo “Staff” risponde con estrema cortesia, ringraziandolo e avvisandolo che avevano “tolto l’errore”.

Il 7 agosto 2017 a mezzogiorno, due giorni dopo i ringraziamenti, sul Blog delle Stelle compare un comunicato dal titolo “Denuncia” dove si sostiene che a dare notizia delle intrusioni nei server dell’Associazione Rousseau sia stato Evariste attraverso il suo sito “Hack5stelle” e accusando lo stesso white hat di aver compiuto una violazione. Il comunicato, infine, scompare dal sito.

Nonostante i proclami della Associazione Rousseau e nonostante sia chiaro che Evariste e R0gue_0 siano due persone distinte, la denuncia non è stata ritirata. Non solo, la sua individuazione e la pubblicazione del suo nome furono sfruttate in vista della campagna elettorale e soprattutto in seguito alle bacchettate da parte del Garante. Un anno è passato, tra avvocati e stress, un “premio” per aver voluto dare una mano.

Davide! Sei arrivato a parlare di “mandanti”, tu e poi a ruota Luigi! Ti rendi conto che stai accusando un bravo ragazzo di essere stato l’esecutore di qualcuno? Stai mettendo alla gogna una persona che voleva aiutarvi, un aiuto che non meritavate per quella piattaforma obsoleta!

Avevo avuto modo di leggere tutte queste informazioni già l’anno scorso, incontrando Evariste di persona al fine di verificare il suo racconto. È arrivata l’ora di rendere tutto pubblico e scoprire se le email scambiate tra Evariste e lo “Staff” siano state fornite dagli accusatori alle autorità competenti e al Garante. È una curiosità, attendiamo risposta.

David Puente

Nato a Merida (Venezuela), vive in Italia dall'età di 7 anni. Laureato presso l'Università degli Studi di Udine, opera nel campo della comunicazione e della programmazione web.
REGOLAMENTO DELLA DISCUSSIONE
Non sono consentiti:
- messaggi off-topic (tradotto: non inerenti al tema trattato)
- messaggi anonimi (registratevi almeno a Disqus)
- messaggi pubblicitari o riportanti link truffaldini (verranno sempre moderati i commenti contenenti link esterni)
- messaggi offensivi o contenenti turpiloquio
- messaggi razzisti o sessisti
- messaggi il cui contenuto costituisce una violazione delle leggi italiane (istigazione a delinquere o alla violenza, diffamazione, ecc.)
Se vuoi discutere in maniera costruttiva ed educata sei il benvenuto, mentre maleducati, fanatici ed esaltati sono cortesemente invitati a commentare altrove.
Comunque il proprietario di questo blog potrà in qualsiasi momento, a suo insindacabile giudizio, cancellare i messaggi che violeranno queste semplici regole. I maleducati (soprattutto se anonimi) verranno bloccati. In ogni caso il proprietario del blog non potrà essere ritenuto responsabile per eventuali messaggi lesivi di diritti di terzi.

Regolamento in vigore dal 5 settembre 2016 - Aggiornato 26 agosto 2017.