Aggiornamenti recenti Aprile 24th, 2024 2:00 PM
Ago 03, 2017 Marco Schiaffino Gestione dati, Hacking, In evidenza, Intrusione, News, RSS, Tecnologia, Vulnerabilità 2
Annunciata in pompa magna, la versione 2.0 della Piattaforma Rousseau del Movimento 5 Stelle deve fare subito i conti con una figuraccia di quelle da cui è difficile riprendersi.
A 24 ore dal suo lancio, infatti, un ricercatore di sicurezza che si fa chiamare Evariste Gal0is ha annunciato su un “mini sito” Internet che la piattaforma ha una banale vulnerabilità che consente un attacco tramite SQL Injection.
Il white hat sarebbe riuscito ad accedere al database di Rousseau nel quale sono disponibili informazioni sensibili riguardanti gli iscritti come nome e cognome; indirizzo email; città di nascita e residenza; contatti social, numero di cellulare; curriculum e presentazione; titolo di studio; professione e le donazioni eventualmente fatte al Movimento 5 Stelle.
Per quanto riguarda le password, Evariste Gal0is riferisce che sono (fortunatamente) protette da crittografia, ma la notizia non è di grande conforto. La Piattaforma Rousseau sembra infatti essere l’unico servizio online che impone ai suoi utenti una lunghezza massima (8 caratteri) al momento della scelta della password.
In pratica un invito a scegliere una parola d’accesso che può essere facilmente craccata con il più banale dei software di Brute Forcing come John the Ripper.
“Sebbene le password siano criptate, sapendo che la lunghezza massima è di soli otto caratteri e che le date GGMMAAAA sono lunghe esattamente otto cifre, è abbastanza logico tentare un attacco dizionario con una lista di numeri da 00000000 a 99999999” spiega Evariste Gal0is. Risultato del suo piccolo esperimento: 136 password craccate (su un campione di 2517) in 21 ore.
E avendo a disposizione più tempo (e magari una macchina con prestazioni migliori) c’è da scommettere che anche le password con caratteri alfabetici non reggerebbero più di tanto a un attacco a dizionario.
Insomma: dal punto di vista della sicurezza la Piattaforma Rousseau sembra essere un vero colabrodo. Anche se l’anonimo hacker non si sbilancia sulla presenza di altre vulnerabilità nel sistema.
“Non posso saperlo, ma non posso escluderlo. Purtroppo capita che i programmatori commettano qualche errore, e che ci sia qualcuno che se ne accorge e decide di approfittarne. Come utenti purtroppo non potete fare molto, ma potete chiedere la maggior trasparenza possibile e un canale di comunicazione diretto con lo staff che si occupa della parte tecnica del sito. Proporre di aprire un piccolo programma di bug bounty per premiare chi segnala una vulnerabilità potrebbe essere un’idea”.
E sfruttare eventuali vulnerabilità in una piattaforma che permette di prendere decisioni che influiscono sulla vita politica del partito di Beppe Grillo e Davide Casaleggio non è esattamente un rischio trascurabile.
Resta da capire perché Evariste Gal0is abbia deciso di rendere pubblica immediatamente la vulnerabilità. Nel suo messaggio assicura che il suo non è un attacco politico, ma visto che per sua stessa ammissione i gestori del sito gli hanno risposto con una certa sollecitudine, la sua azione non rientra proprio in quella che si definirebbe una “responsible disclosure”.
Nel frattempo, sul Web il mini sito all’indirizzo http://hack5stelle.byethost17.com/ è sparito (ma si trova nella cache di Google usando CachedView) così come l’account Twitter di Evariste Gal0is. Difficile capire se abbia deciso di eclissarsi o sia stato… “soppresso”.
Set 06, 2018 0
Feb 07, 2018 2
Ago 07, 2017 0
Ago 04, 2017 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 23, 2024 0
Devi essere connesso per inviare un commento.
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...
Qual’è l’idiota che fa una registrazione inserendo la propria data di nascita come password? Per fortuna non ci sono persone così stupide attorno a me. Neanche mia madre, che a 57 anni ogni giorno mi chiede di nuovo come si accende il computer, ha preso una decisione tanto stupida.
P.S. Mi sono registrato al vostro sito con una password di 8 caratteri.