Tech by VICE

La piattaforma online del Movimento 5 Stelle è un perfetto esempio di incompetenza informatica

CMS obsoleto, mancanza di trasparenza, segretezza del voto inesistente: benvenuti su Rousseau.

di Riccardo Coluccini
03 gennaio 2018, 2:06pm

Immagine: Shutterstock

Lo scorso agosto, a sole 24 ore dal lancio della nuova piattaforma del M5S Rousseau 2.0 — che ovviamente non ha nulla a che fare con un sistema operativo, malgrado i 5 stelle continuino a chiamarlo così — erano già arrivate online le segnalazioni di gravi falle nella sicurezza informatica del sito. Ora il Garante per la protezione dei dati personali ha emesso un provvedimento che sottolinea duramente l’incompetenza informatica del M5S e pone alcuni seri dubbi sul processo di voto elettronico.

R0gue_0, il nome dell’account Twitter che aveva rivelato essersi introdotto nel sistema del M5S da mesi, era riuscito ad avere ampio accesso ai database della piattaforma Rousseau, pubblicando dati relativi a codice fiscale, nome, cognome, contatti, e donazioni degli utenti iscritti alla piattaforma.

Le criticità informatiche della piattaforma Rousseau sono state ribadite nel provvedimento del Garante il quale sottolinea che fra gli elementi che preoccupano vi è “la potenziale debolezza della password scelta in fase di registrazione” — era infatti possibile scegliere password di lunghezza inferiore agli otto caratteri e non vi erano sistemi per impedire attacchi di forza bruta per provare ad effettuare il login.

Il Garante, inoltre, invita ad effettuare azioni di vulnerability assessment allo scopo di individuare e correggere vulnerabilità presenti nei servizi. Questo tipo di analisi, però, vanno fatte prima che le piattaforme siano rese fruibili al pubblico e non solamente a danno avvenuto.

La versione del software per la gestione dei contenuti “è risultata affetta da indiscutibile obsolescenza tecnica” secondo quanto riferito dal Garante: il CMS Movable Type, utilizzato sul sito di Rousseau, nelle sue versioni 4.3x non è più mantenuto dal 31 dicembre 2013, mentre invece il blog di Beppe Grillo ne utilizza una versione ancora più obsoleta, con la quale la registrazione delle password avveniva in chiaro. Il Garante invita anche all’adozione del più sicuro protocollo https poiché “sebbene l'accesso alla home page del sito avvenga tramite il protocollo https, alcuni contenuti sono ancora erogati su protocollo insicuro.”



Inoltre, a peggiorare la situazione della trasparenza della piattaforma, i vulnerability assessment commissionati dall’associazione Rousseau a tre società esterne sono stati solo parzialmente trasmessi al Garante e non vi è stata una chiara comunicazione agli utenti dei soggetti che possono effettuare il trattamento dei dati.

Il Garante è infatti entrato in possesso di una copia di contratto per servizi di hosting e sicurezza, stipulato dall’Associazione Rousseau con Wind Tre S.p.a. la quale affida a sua volta le funzioni sistemistiche alla società ITNET s.r.l.

Secondo la valutazione effettuata dal Garante, le modalità con cui vengono gestiti i database riferiti al M5S da queste aziende rientrano nell’applicazione delle funzioni di amministratore di sistema e pertanto dovrebbero essere entrambe nominate quali responsabili del trattamento. Sui siti del M5S non vi è alcuna traccia di queste aziende e gli utenti non hanno la minima idea che i loro dati possano finire in mano ad esse. Per questo il Garante sta valutando la possibilità di ricorrere a sanzioni amministrative.

Il principio della segretezza del voto all’interno della piattaforma del Movimento 5 Stelle è assolutamente assente.

Se fino a questo punto ci troviamo davanti ad una manifesta incompetenza informatica da parte dell’Associazione Rousseau, gli ulteriori dati che emergono dal provvedimento del Garante fanno preoccupare: i voti espressi dagli iscritti venivano associati al numero telefonico del rispettivo votante. Il principio della segretezza del voto all’interno della piattaforma del Movimento 5 Stelle è assolutamente assente.

Inoltre, il Garante sottolinea come non sia possibile condurre azioni di auditing a posteriori poiché non vi sono i log delle operazioni svolte da tutte le persone che hanno privilegi di amministratore di sistema.

Chiunque ha accesso a quei database può sapere in che modo gli utenti votano e non vi è alcun sistema che tenga traccia degli accessi: la piattaforma Rousseau non è un sistema di voto democratico, è uno strumento di manipolazione.

Il blog di Beppe Grillo presenta un codice di tracciamento in grado di esfiltrare le mail degli utenti sfruttando un bug dei sistemi di gestione automatica delle password presenti sui browser.

E se fosse ancora rimasta un briciolo di fiducia nella sfera informatica del Movimento 5 Stelle, bisogna aggiungere un’ulteriore notizia: secondo uno studio pubblicato dal Center for Information Technology Policy dell’università di Princeton, il blog di Beppe Grillo è fra i 1110 siti che presentano un codice di tracciamento in grado di esfiltrare le mail degli utenti sfruttando un bug dei sistemi di gestione automatica delle password presenti sui browser.

In particolare, lo script è prodotto da Adthink e introduce un campo nascosto che il sistema di gestione delle password compila automaticamente con i dati delle mail. Successivamente le mail vengono inviate sia al server di Adthink che a quello di Acxiom, un data broker che ingurgita parecchi dei dati che produciamo online. Tutto questo avviene senza che gli utenti sappiano nulla.

Il quadro che emerge da questa vicenda è drammatico: non vengono rispettate le misure minime di sicurezza informatica, non ci sono comunicazioni chiare agli utenti riguardo il trattamento dei loro dati, le mail vengono sottratte segretamente e i processi e le garanzie di voto rischiano di essere inesorabilmente corrotti.

Le elezioni politiche si avvicinano e molto probabilmente sentiremo ancora parlare di Rousseau ma una cosa è certa: abbiamo un chiaro esempio di tutto quello che una piattaforma online deve evitare di essere.

Seguici su Facebook e Twitter.