Il nuovo attacco di R0gue_0: altri dati, nuovi danni e le “risposte” del M5S

MIA17 Nomination
Quest'anno risulto tra i candidati al premio Macchianera 2018. Per votare dovete lasciare la vostra preferenza ad almeno 10 categorie.

R0gue_0 ha pubblicato altri dati su Privatebin (come la sera precedente) con le email e i numeri di cellulare dei ministri pentastellati Danilo Toninelli, Alfonso Bonafede e Luigi Di Maio:

Database: web05db01
Table: voting_author_federated

author_federated_email, author_federated_password , author_federated_cognome , author_federated_nome , author_federated_cellulare , author_federated_is_superuser

***** , I8NBDHGndjq0M, TONINELLI, DANILO, *****,0
***** , y5M9wIp.ebnFo, Bonafede, Alfonso, *****,0
***** , vvKuGsQ3pa9a., Di Maio, Luigi, *****, 0,
***** , qmInx8anIGdHE, Di Maio, Luigi, *****, 0,
***** , $6$X04aCiamd3KK3NhN$hIuz4xjr9H4IcW6dXauxg2SIujzZ4nFLl0/EGQPew7ob1qpFlzQoVYuhl8HuRgHylSOlhfeBo8a7G2eCwf3Y20 , Di Maio, Luigi, *****, 0

I “Luigi Di Maio” erano tre, ma due erano degli omonimi e uno solo era quello del Ministro (ne parlavo su Twitter).

Non contento, il giorno dopo pubblica altri dati su 0bin.net con le email e i numeri di cellulare di Virginia Raggi e Paola Taverna:

I dati pubblicati su Paola Taverna
I dati pubblicati su Virginia Raggi

Dati, in particolare su Luigi Di Maio (il Ministro) e Virginia Raggi, già pubblici online da anni.

 

La non risposta del M5S agli attacchi e il GDPR

Su Startupitalia il buon Matteo Flora pubblica un articolo dal titolo “Privacy e GDPR: lo strano caso della notifica agli iscritti di Rousseau” dove riporta l’email inviata agli iscritti della piattaforma Rousseau (a me non è ancora arrivata):

Caro iscritto al Movimento 5 Stelle,

abbiamo ricevuto notizia di un possibile accesso illecito ai dati presenti sul server dei servizi erogati per il Movimento 5 Stelle e le autorità stanno già indagando – assieme a noi e alcune società che ci supportano – per identificare le eventuali modalità di accesso e ulteriori protezioni da attivare alcune delle quali sono già state messe in piedi. In linea con quanto richiesto dalla nuova normativa sulla protezione dei dati personali (GDPR) ti informiamo di questa potenziale violazione dei tuoi dati.

Nell’ultimo anno abbiamo investito molto in sicurezza.

Alcune di queste attività sono visibili, come l’SMS che ti arriva per poter accedere al sistema (un servizio che quest’anno costerà 60 mila euro), o al nuovo livello di complessità delle password che ti viene richiesto di utilizzare. Altre iniziative sono invisibili ai più, ma non per questo meno importanti, come le società ingaggiate per provare a identificare possibili vulnerabilità del sistema o di singoli servizi. Ad esempio, ogni servizio che è stato rilasciato è stato testato e migliorato da società esterne specializzate in sicurezza.

In seguito a questi nuovi attacchi investiremo ancora di più in sicurezza.

Alcuni investimenti importanti sono già stati fatti e altri saranno attivi a breve per un totale di quasi 500 mila euro tra servizi come gli sms, nuova struttura tecnologica con contratto triennale, controlli di sicurezza esterni e sviluppo sistema sperimentale basato su blockchain. Tra gli investimenti più recenti qualche settimana abbiamo siglato un contratto di 209 mila euro in tre anni per una infrastruttura tecnologica ancora più solida e robusta che oltre a poter accogliere molti più iscritti sarà anche più sicura. La sicurezza è una nostra priorità e richiede sforzi e continuità di impegno. Per questo continueremo a lavorare in questa direzione, intensificando la nostra attività di investimento in termini di tempo e di risorse ogni qual volta sia necessario. Ad ogni problema risponderemo con tutte le forze a disposizione per proteggere un progetto che amiamo e nel quale crediamo profondamente.

Grazie per il tuo supporto e la tua partecipazione a questo progetto,

Lo Staff del Movimento 5 Stelle

Nell’articolo, viene spiegato perché questa “notifica” non è propriamente ben fatta:

Anche tralasciando le valutazioni sulla spesa e gli investimenti sulla piattaforma, che inadeguati paiono direttamente dal fatto che non sono stati palesemente sufficienti a proteggere l’integrità e la confidenzialità dei dati, e ai costi relativi alle notifiche via SMS (se davvero sono 60.000 euro avremmo una serie di fornitori alternativi da consigliare…), quello che più fa specie è come la notifica inviata violi palesemente tutte le indicazioni date dal GDPR stesso, all’interno del succitato art.34, relativamente ai campi e ai dati necessari.

La comunicazione di data breach ai sensi degli articolo 34 e 33 deve, infatti, descrivere “con un linguaggio semplice e chiaro la natura della violazione dei dati personali” e deve contenere:

  • il nome e i dati di contatto del DPO;
  • la descrizione delle probabili conseguenze della violazione dei dati personali;
  • la descrizione delle misure adottate o di cui si propone l’adozione per porre rimedio alla violazione dei dati personali e anche, se del caso, per attenuarne i possibili effetti negativi.

Se forse possiamo dire che l’ultima parte si intravede, almeno parzialmente sepolta dal tentativo di marketing di una piattaforma evidentemente inadeguata e plurimamente violata in modo totale e spettacolare, la comunicazione manca sicuramente sia dei dati (obbligatori) relativi al nome e il contatto del DPO, sia soprattutto della “descrizione delle probabili conseguenze della violazione dei dati personali”.

Descrizione non certo semplice e, soprattutto, dalle pesanti implicazioni: la presenza del numero di cellulare consente infatti a chiunque venga in possesso di tali dati di contattare direttamente la persona ed inviare non solamente offerte pubblicitarie, ma addirittura avere una base con cui classificare per fede politica gli aderenti al Movimento. Creando una sorta di lista di proscrizione.

Risulta inoltre possibile utilizzare questi dati, mail compresa, per attacchi di phishing, magari sfruttando la conoscenza del numero di cellulare come fattore di maggiore accreditamento e per convincere gli utenti a cedere altre informazioni. In aggiunta, non è ancora chiaro se la stessa password contenuta sia facilmente “decifrabile” o meno, ma se lo fosse il pericolo aumenterebbe esponenzialmente: poiché plausibilmente migliaia di utenti potrebbero aver utilizzato la medesima password in differenti piattaforme e servizi.

Nel frattempo il Garante ha avviato le verifiche su quanto accaduto:

Nuovo attacco hacker a piattaforma Rousseau: il Garante per la privacy avvia verifiche

In relazione alla notizia sul nuovo attacco hacker alla piattaforma Rousseau, il Garante per la protezione dei dati personali informa di aver avviato le prime verifiche, anche al fine di valutare se il data breach sia stato determinato dalle medesime cause riscontrate in passato, già oggetto di un provvedimento del Garante, o se sia stato dovuto ad altre cause.

Roma, 6 settembre 2018

 

I danni

Parliamo anche dei danni, quelli subiti da omonimi del Ministro Luigi Di Maio che subiscono telefonate (anche anonime) e messaggi Whatsapp da numerosi cittadini privi di sensibilità o desiderosi di “fare qualcosa” (buono o cattivo che sia):

Uno degli screenshot diffusi da uno dei “Luigi Di Maio” per denunciare questo “attacco”

Sarebbe buona pratica invitare tutti a non compiere certe attività, anche nei confronti dei Ministri.

David Puente

Nato a Merida (Venezuela), vive in Italia dall'età di 7 anni. Laureato presso l'Università degli Studi di Udine, opera nel campo della comunicazione e della programmazione web.
REGOLAMENTO DELLA DISCUSSIONE
Non sono consentiti:
- messaggi off-topic (tradotto: non inerenti al tema trattato)
- messaggi anonimi (registratevi almeno a Disqus)
- messaggi pubblicitari o riportanti link truffaldini (verranno sempre moderati i commenti contenenti link esterni)
- messaggi offensivi o contenenti turpiloquio
- messaggi razzisti o sessisti
- messaggi il cui contenuto costituisce una violazione delle leggi italiane (istigazione a delinquere o alla violenza, diffamazione, ecc.)
Se vuoi discutere in maniera costruttiva ed educata sei il benvenuto, mentre maleducati, fanatici ed esaltati sono cortesemente invitati a commentare altrove.
Comunque il proprietario di questo blog potrà in qualsiasi momento, a suo insindacabile giudizio, cancellare i messaggi che violeranno queste semplici regole. I maleducati (soprattutto se anonimi) verranno bloccati. In ogni caso il proprietario del blog non potrà essere ritenuto responsabile per eventuali messaggi lesivi di diritti di terzi.

Regolamento in vigore dal 5 settembre 2016 - Aggiornato 26 agosto 2017.