“Se mi sta chiedendo se le vulnerabilità trovate mi hanno permesso di avere accesso ai dati personali degli utenti la risposta è: Sì. Avevo accesso all'intero database di Rousseau, e a tutti i dati che iscritti devono immettere al momento dell'iscrizione”. Evariste Galois è stato il primo hacker a bucare Rousseau, la piattaforma politica del Movimento 5 stelle. Ci ha scritto via email da un account Proton, un servizio di mail criptate. Il nome non è il suo ma così si fa chiamare su Twitter, dove ha cominciato a denunciare le falle della sicurezza del sito. Un nome che ha ‘rubato’ ad un matematico francese, giovane genio tra i fondatori dell’algebra astratta, morto a soli 20 anni per una ferita allo stomaco subita in duello. Anche l’hacker sembra molto giovane. “Non ho cercato se erano presenti vulnerabilità per scalare i privilegi e quindi non potevo modificare, ma potevo leggere. E questo è gravissimo” ha detto ad Agi. “Io però non ho pubblicato i dati degli utenti e non mi sono interessato ad essi (come è stato fatto qualche giorno dopo, presumibilmente da un altro hacker, ndr) . “Lo scopo dimostrativo del sito era mostrare che io potevo aver accesso a quei dati e quindi il sito non era sicuro. Dimostravo questo. Il pericolo era il sito e la sua sicurezza, non io”. Ad Agi diversi esperti di sicurezza hanno confermato che l’indirizzo email e la veridicità del contenuto è attendibile.
“Io cerco le vulnerabilità nei siti web nel tempo libero. Non è un segreto, e di solito è ben visto. Ho un profilo su OpenBugBounty, sito utilizzato per segnalare in maniera responsabile determinate vulnerabilità. Mi occupo prevalentemente di siti italiani, per comodità, e ho testato, a caso, anche il sito del M5S. Semplicemente questo”.
“Personalmente, come ho scritto in qualche tweet, reputo la sicurezza di quel sito molto scadente. Mancano proprio le basi, a mio parere, ma penso che chi ne capisce qualcosa (e ben più di me) concordi con questo mio punto di vista”.
“Come più volte scritto, in maniera esplicita e chiara, non era un attacco politico o al partito. Nel tempo libero cerco vulnerabilità, e una falla così grave, in un sito che contiene così tanti dati, non poteva passare sotto silenzio. Per il resto non mi esprimo, non sono stato pagato da nessuno ovviamente, ma sto fuori da commenti politici”.
“Li ho contattati uno o due giorni prima della diffusione del sito, per segnalare la vulnerabilità. Hanno ringraziato per la segnalazione, ho avvisato che avrei pubblicato la notizia, senza però diffondere dati o dettagli troppo precisi sulla variabile vulnerabile. Purtroppo qualcuno ha trovato altre variabili vulnerabili, e condanno il gesto. Ho scritto qualche giorno dopo per segnalare un altro errore simile, affinché si potesse mettere in sicurezza il sito, mi hanno nuovamente ringraziato. Personalmente non reputo il sito sicuro”.
“Non ho ricevuto denunce, spero non procedano per via legale, più che altro per non perdere tempo in carte e aule di tribunale. Spero fosse solo un post di propaganda, devono ancora commentare la perdita dei dati. Penso che la gestione del problema sia stata fatta male in ogni suo step: comunicazione con la stampa, con gli utenti, gestione della sicurezza. Io avevo scritto dei consigli nel sito, che reputo sensati, ma sono stati ignorati”.
“Non ho cancellato tutto. Ho sospeso l'account Twitter volontariamente per qualche giorno: troppa pressione, troppa visibilità, mille notifiche e, ammetto, un po' di preoccupazione iniziale. Non ero e non sono abituato. Io capisco la viralità della notizia, ma ammetto che non ho saputo gestire al meglio la situazione. Eliminarmi mi ha dato dei giorni di tranquillità. Il sito è caduto offline per le troppe visite, per rimetterlo online dovevo pagare il servizio di host e non sono interessato a ciò. Ho modificato comunque il sito, ho tolto il paragrafo Dimostrazione. Lo reputavo utile, e lo reputo tutt'ora così, ma non voglio aiutare ulteriormente persone stupide come r0gue_0. Il sito comunque è ancora reperibile attraverso le cache. Ho lasciato la sezione FAQ e Conclusione perché le reputo utili per gli utenti”.
“Non ho controllato l'intero db, non era il mio interesse. Poterlo leggere era già particolarmente grave. Personalmente non reputo sicuro il sito di Beppe Grillo. Non mi stupirebbe se ci fosse un unico database per tutti i loro siti. Non avendo però prove di ciò, e sinceramente non volendomene più occupare, la risposta alla domanda è: no, non ho avuto accesso agli altri siti”.
Leggi anche: Perché l'hacker può aver venduto tutto il database di Rousseau