Raffaele Angius (Faffa) svela su Wired come sia stato possibile esprimere due preferenze durante l’ultima votazione della piattaforma Rousseau che ha permesso al Movimento 5 Stelle di ricandidare Virginia Raggi come sindaco di Roma. In che modo? Clonando un account già esistente, senza violare il «sistema operativo» (nome improprio usato dai pentastellati) e senza aver rubato l’identità del titolare (che era d’accordo). La falla era davvero banale, fin troppo e forse per questo ignorata.
Non c’è voluto un R0gue_0, l’hacker letteralmente scomparso dopo le sue scorribande che avevano messo in seria discussione la sicurezza e l’affidabilità della piattaforma Rousseau, e non ci sono volute tecniche avanzate di informatica. Avvisiamo però i malintenzionati: non è stata un’operazione recente e attualmente non è possibile replicarla visto che la stessa piattaforma è stata aggiornata (oltre che più stabile rispetto al passato).
Nel vecchio pannello di amministrazione dell’account non era possibile modificare le caselle dell’anagrafica utili all’iscrizione – nome, cognome, codice fiscale e anno di nascita – risultando evidenziate con il classico alone grigio che vi vietata qualunque operazione. Spiegandolo nella maniera più semplice possibile, è bastato rimuovere l’alone tramite browser (dunque senza intrusione informatica), modificare il contenuto della casella e cliccare il tasto salva! Questo ha dato il via libera a Faffa per creare con i dati anagrafici iniziali un altro utente senza che il sistema rilevasse in automatico l’anomalia. Il controllo della carta di identità? Passato pure quello!
Il tool utilizzato da Faffa è quello che su Google Chrome viene chiamato strumento «ispeziona» ed è solitamente utilizzato dagli sviluppatori per effettuare controlli e modifiche visibili sul momento all’interno di una pagina web (sotto trovate un video tutorial su come si utilizza questo strumento).
Non è mancata la risposta del Movimento 5 Stelle che attraverso l’organo di comunicazione ufficiale, «Il Blog delle Stelle», pubblica un post dal titolo «Chi truffa Rousseau viene denunciato» definendo l’operato di Faffa «l’ennesimo attacco alla piattaforma Rousseau»:
Si segnala, infatti, che l’operazione di fornire false generalità in presenza di determinate condizioni, che nel caso di specie sembrano essersi verificate, è un reato definito dall’art. 494 del codice penale (sostituzione di persona) e l’ufficio legale valuta di volta in volta se ci sono gli estremi per la denuncia querela, come anche in questo caso sta facendo.
[…]
Nella maggior parte dei casi sono meri errori di digitazione dell’iscritto. Nel caso in cui registriamo che l’attività è eseguita con intenti dolosi e si procede alla denuncia presso la polizia postale.
Nel caso di Faffa bisognerebbe comprendere quale sia il dolo, visto che il tutto è stato fatto in accordo con il titolare dei dati (l’utente iscritto alla piattaforma) e che il voto non risulterebbe compromesso in quanto una sua preferenza annullava l’altra, come dichiarato da Faffa anche via Twitter:
Il 14 ho votato per la Raggi, ma anche contro.
Secondo quanto riportato nel comunicato delle ore 16:18, dopo la pubblicazione dell’articolo su Wired avvenuto intorno alle ore 14, «da una verifica fatta oggi su tutti gli iscritti non risultano altri account falsificati dal singolo utente». Non solo, vengono spiegate anche attività di verifica che verrebbero effettuate nei confronti degli iscritti:
Il sistema di sicurezza e le procedure di verifica come confermato anche dal giornalista evolvono continuamente e infatti il workaround informatico messo in piedi dal giornalista assieme ad una persona specializzata in sicurezza informatica per modificare i dati identificativi del proprio account è stato possibile per un tempo limitato e da svariati mesi non è più possibile grazie ai penetration test che vengono condotti regolarmente. Da una verifica fatta oggi su tutti gli iscritti non risultano altri account falsificati dal singolo utente.
[…]
Rousseau, infatti, esegue controlli settimanali programmati, seriali e a campione e quando vengono rilevati profili non conformi dai processi di controllo vengono messe in atto procedure di verifica, utilizzate da parte delle banche e assicurazioni che devono verificare le identità online, attraverso le quali vengono chiesti dettagli specifici e puntuali all’interessato, come possono confermare le ormai migliaia di persone che hanno ricevuto un contatto diretto di questo tipo.
Nel comunicato si comprende che i controlli vengono fatti a campione e questo ci fa supporre, anche a seguito di ciò che è avvenuto, che non è stato rilevato l’account clonato usato da Faffa in accordo con il suo titolare. Per questo è riuscito a votare, senza falsare il voto generale.
Leggi anche:
- Di Maio spiega il suo sì all’alleanza con il Pd: «Per il M5s inizia un percorso nuovo. Insieme anche alle comunali del 2021»
- Regionali Puglia, l’affondo di Laricchia dopo il voto su Rousseau: «Il M5s qui resiste a chi vuole inglobarci»
- Voto Rousseau, i Cinquestelle diventano come tutti gli altri: niente più limite di due mandati ai politici locali
