Aggiornamenti recenti Marzo 28th, 2024 9:00 AM
Ago 03, 2017 Marco Schiaffino Gestione dati, Hacking, In evidenza, Intrusione, News, RSS, Tecnologia, Vulnerabilità 2
Annunciata in pompa magna, la versione 2.0 della Piattaforma Rousseau del Movimento 5 Stelle deve fare subito i conti con una figuraccia di quelle da cui è difficile riprendersi.
A 24 ore dal suo lancio, infatti, un ricercatore di sicurezza che si fa chiamare Evariste Gal0is ha annunciato su un “mini sito” Internet che la piattaforma ha una banale vulnerabilità che consente un attacco tramite SQL Injection.
Il white hat sarebbe riuscito ad accedere al database di Rousseau nel quale sono disponibili informazioni sensibili riguardanti gli iscritti come nome e cognome; indirizzo email; città di nascita e residenza; contatti social, numero di cellulare; curriculum e presentazione; titolo di studio; professione e le donazioni eventualmente fatte al Movimento 5 Stelle.
Per quanto riguarda le password, Evariste Gal0is riferisce che sono (fortunatamente) protette da crittografia, ma la notizia non è di grande conforto. La Piattaforma Rousseau sembra infatti essere l’unico servizio online che impone ai suoi utenti una lunghezza massima (8 caratteri) al momento della scelta della password.
In pratica un invito a scegliere una parola d’accesso che può essere facilmente craccata con il più banale dei software di Brute Forcing come John the Ripper.
“Sebbene le password siano criptate, sapendo che la lunghezza massima è di soli otto caratteri e che le date GGMMAAAA sono lunghe esattamente otto cifre, è abbastanza logico tentare un attacco dizionario con una lista di numeri da 00000000 a 99999999” spiega Evariste Gal0is. Risultato del suo piccolo esperimento: 136 password craccate (su un campione di 2517) in 21 ore.
E avendo a disposizione più tempo (e magari una macchina con prestazioni migliori) c’è da scommettere che anche le password con caratteri alfabetici non reggerebbero più di tanto a un attacco a dizionario.
Insomma: dal punto di vista della sicurezza la Piattaforma Rousseau sembra essere un vero colabrodo. Anche se l’anonimo hacker non si sbilancia sulla presenza di altre vulnerabilità nel sistema.
“Non posso saperlo, ma non posso escluderlo. Purtroppo capita che i programmatori commettano qualche errore, e che ci sia qualcuno che se ne accorge e decide di approfittarne. Come utenti purtroppo non potete fare molto, ma potete chiedere la maggior trasparenza possibile e un canale di comunicazione diretto con lo staff che si occupa della parte tecnica del sito. Proporre di aprire un piccolo programma di bug bounty per premiare chi segnala una vulnerabilità potrebbe essere un’idea”.
E sfruttare eventuali vulnerabilità in una piattaforma che permette di prendere decisioni che influiscono sulla vita politica del partito di Beppe Grillo e Davide Casaleggio non è esattamente un rischio trascurabile.
Resta da capire perché Evariste Gal0is abbia deciso di rendere pubblica immediatamente la vulnerabilità. Nel suo messaggio assicura che il suo non è un attacco politico, ma visto che per sua stessa ammissione i gestori del sito gli hanno risposto con una certa sollecitudine, la sua azione non rientra proprio in quella che si definirebbe una “responsible disclosure”.
Nel frattempo, sul Web il mini sito all’indirizzo http://hack5stelle.byethost17.com/ è sparito (ma si trova nella cache di Google usando CachedView) così come l’account Twitter di Evariste Gal0is. Difficile capire se abbia deciso di eclissarsi o sia stato… “soppresso”.
Set 06, 2018 0
Feb 07, 2018 2
Ago 07, 2017 0
Ago 04, 2017 0
Mar 28, 2024 0
Mar 27, 2024 0
Mar 26, 2024 0
Mar 25, 2024 0
Devi essere connesso per inviare un commento.
Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 27, 2024 0
La sanità viene presa di mira dagli infostealer: a dirlo...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...Mar 21, 2024 0
Acronis annuncia l’ottenimento della qualificazione...Mar 19, 2024 0
Il numero di computer di Operation Technology (OT) è in...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Mar 28, 2024 0
Stando al Rapporto Annuale sulle Minacce Informatiche di...Mar 26, 2024 0
Un gruppo di ricercatori ha individuato un grosso problema...Mar 25, 2024 0
La scorsa settimana ha rappresentato una sfida...Mar 25, 2024 0
Il 22 marzo si è concluso il Pwn2Own, l’hackathon...Mar 22, 2024 0
Nel 2024 i deepfake saranno una delle applicazioni di...
Qual’è l’idiota che fa una registrazione inserendo la propria data di nascita come password? Per fortuna non ci sono persone così stupide attorno a me. Neanche mia madre, che a 57 anni ogni giorno mi chiede di nuovo come si accende il computer, ha preso una decisione tanto stupida.
P.S. Mi sono registrato al vostro sito con una password di 8 caratteri.