Dopo 24 ore, preciso nella pubblicazione del suo tweet, l'hacker che in questi giorni sta pubblicando i dati di alcuni dei vertici del Movimento 5 stelle è tornato a pubblicare i numeri di cellulari personali di rappresentanti istituzionali pentastellati. Su Twitter R0gue_0 ha pubblicato il numero del sindaco di Roma Virginia Raggi con un post in cui scrive:
"Ho dimenticato le quote rosa. Perciò, a gran richiesta: SELECT * FROM voting_author_federated WHERE author_federated_nome = '@virginiaraggi '".
Alle 22.00, preciso, esattamente un giorno dopo l'ultimo suo post in cui pubblicava i numeri di cellulare di tre ministri del governo giallo-verde, Luigi Di Maio (Sviluppo), Alfonso Bonafede (Giustizia) e Danilo Toninelli (Infrastrutture).
A questo ha poi aggiunto in un secondo tweet un link che rimanda ad un sito, Obin.net, dove è stato caricato il numero di cellulare del sindaco, che risulta corretto, insieme ad un indirizzo email e quella che sembrerebbe una password a 13 caratteri crittografata, probabilmente quella che serve per accedere alla piattaforma di voto.
Il codice pubblicato, criptico ad un occhio non esperto, sembrerebbe dimostrare che il dato è preso dal database degli iscritti alla piattaforma Rousseau. L'hacker sembra aver 'chiesto' con un comando al database di 'guardare' nella tabella degli utenti e chiedere dei dati. In questo caso quelli di Virginia Raggi.
L'hacker dice di essere ancora lì, un anno dopo
L'hacker finora ha pubblicato informazioni corrette su politici e istituzioni. Dice di essere ancora lì, di avere accesso privilegiato a tutti i dataset. È possibile che l'associazione Rousseau abbia messo in sicurezza la falla dello scorso anno, ma, per usare una metafora, riparare una finestra potrebbe non essere sufficiente se l'edificio presenta criticità in più punti. E l'hacker ha dimostrato di avere accesso a donazioni fatte di recente, a luglio 2018, quasi un anno dopo dalla nuova versione 'sistemata' di Rousseau.
Scheda: Le tappe fondamentali dell'attacco hacker a Rousseau
I codici pubblicati sembrano dimostrare che l'hacker è tutt'ora in grado di chiedere al database di 'guardare' nella tabella degli utenti e chiedere i dati di utenti specifici, in questo caso quelli di Virginia Raggi. In risposta ad un utente che sul social glielo chiedeva, un'ora dopo R0gue_0 ha pubblicato anche i dati del vicepresidente del Senato Paola Taverna, come per rispondere ad una provocazione, quasi a dimostrare di avere il coltello dalla parte del manico e di poter fare il bello e il cattivo tempo con il dataset. Anche rispondendo a richieste specifiche.
A conferma del pericolo per la piattaforma, sui social oggi è circolata una mail che l'Associazione Rousseau avrebbe mandato ai propri iscritti (è obbligata a farlo in caso di attacco hacker o violazione di dati) in cui rassicura sugli investimenti fatti in tema di sicurezza e che tutto sarà presto risolto con nuovi investimenti in tecnologia e controllo.
Gli hashtag usati, tutti inventati, ma con una ragione precisa
Quanto agli hasthtag usati dall'hacker per pubblicare i dati, sembrano tutti inventati, ma con una ratio precisa. Almeno stando a quello che se ne può dedurre. Questa operazione è stata pubblicata su Twitter con l'hashtag #pisQAnon sembra alludere dal punto di vista 'fonico' a "pisquano", persona stolta, ma in realtà con le maiuscole rimanda alla teoria del complotto spuntata su 4Chan "Quanon", che fa riferimento ad alcuni avvenimenti di politica interna americana. #APT invece è una tipologia di attacco informatico, famoso per aver messo in seria difficoltà il Nwe York Times qualche anno fa, e sta per advanced persistent threat, minaccia avanzata persistente. Mentre l'ultimo #GetRootIsNotaCrime sembrerebbe solo un modo per ribadire che l'hacker è ancora in possesso dei massimi provilegi (root) nel sistema Rousseau.
Il nodo GDPR e le multe in caso di violazione dei dati
Ieri R0gue_0 aveva pubblicato i numeri dei ministri Di Maio, Toninelli e Bonafede, a pochi giorni dall'adozione in Italia del nuovo regolamento europeo Gdpr, che prevede pesanti sanzioni per i gestori di piattaforme che non riescono a garantire la sicurezza dei dati degli iscritti. Non è un caso che la pubblicazione di questi dati avvenga proprio adesso. L'hacker vuole colpire l'Associazione che adesso che potrebbe essere sanzionata con una multa salata, fino a 10 milioni di euro, come ha spiegato a Repubblica l'avvocato Francesco Paolo Micozzi. In un'intervista a Vice l'hacker ha eluso le domande dei giornalisti, a volte canzonandole, come quella proprio sulle tempistiche, risolta con una faccina sorridente allusiva.
Dai dati pubblicati finora sembrerebbe che l'hacker, su cui da settembre scorso sta indagando la magistratura, sia ancora in possesso della possibilità di accedere al database di Rousseau. Dice di avere anche la possibilità di 'scrivere' il database. E per alcuni esperti, contatati da AGI, ha dimostrato in effetti di poterlo fare. L'hacker sembra credibile. E su questa nuova azione sta già lavorando l'autorità garante della privacy italiana.