"Questa pagina non è un attacco politico. È stata pubblicata solo con l'intento di rendere trasparente e semplice una questione importante: i dati personali di molte persone erano ottenibili a causa di una vulnerabilità presente nel sito. È quindi corretto che le persone vengano a saperlo". Con queste parole il primo agosto 2017 un hacker che in rete si faceva chiamare Evariste Galois, mutuando il nome da un matematico francese, pubblicava un sito dove metteva in evidenza alcune falle nella sicurezza dei server della Casaleggio associati.
1 agosto, spunta il primo hacker: cos'è un white hat
Si definiva un 'white hat', un berretto bianco, un hacker etico, di quelli che dicono di lavorare sulla sicurezza dei siti per la tutela dei dati e della privacy dei naviganti. Non deve suonare strano, questo è anche il senso originario di hacker, prima della sua declinazione mediatica: qualcuno che mette a disposizione le sue conoscenze informatiche per il bene della società. A differenza del cracker, che ha le stesse competenze di un hacker, ma le utilizza per azioni malevole: rubare dati, farci soldi.
L'hacker, che oggi la Polizia postale ha individuato in Luigi Gubello, ventenne di Portogruaro, studente di matematica, scriveva inoltre che quel sito è stato fatto dopo aver avvertito la Casaleggio che i dati dei suoi utenti erano a rischio. L'azienda lo avrebbe anche ringraziato, diceva, e promesso che avrebbe provveduto a rafforzare la sicurezza.
Agi riuscì ad intervistarlo. Aveva confermato di non aver violato dati, di non aver rubato nulla, di avere anche individuato falle che potevano consentire a qualcuno tecnicamente dotato come lui di modificare il voto online. Ma di non avere alcun motivo per farlo. Non solo, dopo la segnalazione alla Casaleggio, aveva anche detto che le falle che aveva scoperto erano state risolte, probabilmente grazie alle sue segnalazioni.
La Polizia farà le sue indagini e accerterà quello che ha fatto, se qualcosa ha fatto. Ma la cronaca dello scorso agosto racconta di due operazioni distinte. Di due persone distinte.
3 agosto: Beppegrillo.it attacca l'hacker e promette azioni legali
La seconda spunterà fuori due giorni dopo che sul blog di Beppe Grillo viene pubblicato un duro post contro Evariste Galois, al secolo Luigi Gubello. Minaccia azioni legali e rassicura gli iscritti: adesso è tutto a posto, i vostri dati sono al sicuro. Evariste Galois, dopo la minaccia di un'azione legale, per paura cancella il suo account Twitter, mette offline il sito di denuncia e per qualche giorno sparisce dalla circolazione.
5 agosto: spunta l'hacker cattivo e pubblica nomi e donazioni a Rousseau
Il 5 agosto viene fuori il secondo hacker. Su Twitter si fa chiamare "Rogue_0". Su di lui la procura sta ancora indagando. Questa volta l'hacker si dimostra da subito meno disponibile, e più agguerrito. Attacca prima Evariste Galois, colpevole di aver indotto la Casaleggio ad aumentare le misure di sicurezza. Poi se la prende direttamente con Beppe Grillo e Davide Casaleggio, pubblicando liste di nomi contenute nei server, indirizzi email, donazioni alla piattaforma Rousseau. Proprio quelle che Galois aveva detto di essere a rischio.
Non è chiaro se il secondo hacker al momento della pubblicazione fosse ancora dentro i server della Casaleggio, nonostante la pulizia e le rassicurazioni del blog. Lui diceva di sì, e pubblicava tutti i giorni, per qualche giorno, screenshot e nomi di iscritti.
Dimostra attraverso delle foto di essere (o essere stato) effettivamente all'interno dei server, quindi di aver violato i sistemi di sicurezza, a differenza di Gubello che avrebbe solo evidenziato alcuni problemi piuttosto banali di sicurezza. Rogue si era definito un black hat, un berretto nero, un hacker (o sarebbe meglio dire cracker) che trova le falle di sicurezza, le sfrutta e cerca di ricavarne un profitto.
La differenza fondamentale tra hacker e cracker, per capire questa storia
Due giorni dopo, sfidando ancora Grillo e Casaleggio, annuncia su Twitter di aver venduto alcuni dati dei server della Casaleggio associati, in cambio di "alcune migliaia di euro in Bitcoin". Non c'è alcuna prova che questo sia effettivamente successo. L'hacker fino allo scorso 4 gennaio ha continuato a punzecchiare gli account di Beppe Grillo e della Casaleggio associati su Twitter, dicendo di avere le chiavi di alcuni admin. Poi ha smesso di twittare.
L'indagine della Polizia cercherà di fare chiarezza sul ruolo di Gubello, che per ora sembra non avere nulla a che fare con R0gue_0: l'indagine, per accesso abusivo a sistema informatico, dovrà chiarire se ha mai violato i server o se ha commesso altri illeciti.
Al di là di come finirà, è il caso di tenere a mente le date e gli eventi. E anche il ruolo degli attori di questa piccola commedia del digitale, dove si rischia di fare molta confusione e mettere sullo stesso piano persone e azioni che per ora tra loro non hanno nulla a che fare.