Neanche il tempo di inaugurarla che Rousseau, la rinnovata piattaforma del Movimento 5 Stelle, è già diventata oggetto di polemiche. Non solo perché il voto online sarà certificato da un ente terzo, esterno, solo in alcune occasioni che Davide Casaleggio non ha voluto specificare. Ma anche per via di alcuni errori di programmazione, definiti in gergo con il nome di «vulnerabilità», che metterebbero dati e voti dei suoi utenti alla mercé dei criminali informatici.
Lo rivela un hacker, conosciuto su Twitter con lo pseudonimo di Evariste gal0is (un account che adesso risulta inesistente): «Il mio non è un attacco politico - precisa -, volevo solo avvisare gli iscritti al sito rousseau.movimento5stelle.it che i loro dati sensibili sono potenzialmente a rischio». Evariste gal0is non si è limitato alla denuncia, ha segnalato la grana ai gestori della piattaforma e al momento il problema sembra essere stato risolto.
Il sito Rousseau del M5S è vulnerabile, voti e dati personali degli iscritti sono tutti a rischio #Hack5Stellehttps://t.co/7KPcFsXFhe
— evariste.gal0is (@evaristegal0is) 2 agosto 2017Eppure non è chiaro se siano già state trafugate informazioni di chi ha utilizzato lo strumento. «Non posso saperlo, ma neanche escluderlo», precisa l'hacker in un sito web creato ad hoc. «La vulnerabilità c'era e accedere ai database non era complesso». Lui l'ha «bucato» e dimostrato: «C'è un programma - scrive sul sito - che permette di effettuare questo attacco con un semplice computer in un tempo relativamente breve. Utilizzando una lista di 99999999 numeri, sono bastate 21 ore per craccare 136 password su un campione casuale di 2517, un esito positivo pari al 5,40% delle password analizzate. Una percentuale non irrisoria che potrebbe pesare, ad esempio, nelle votazioni online».
Le notizie maggiormente in pericolo? Quelle lasciate durante l'iscrizione o una candidatura: «nome, cognome, email, password, numero di cellulare e profili social». Anche se, spiega l'esperto di sicurezza informatica, fino ad ora «non sembrano essere state diffuse online, quindi forse la vulnerabilità non era conosciuta». La prudenza non è mai troppa. E agli utenti consiglia, comunque, di cambiare le password «dell'account», «della email con cui ci si è registrati» e «dei vari profili sulle reti sociali», soprattutto se al loro interno sono state sfruttate delle informazioni personali, come per esempio la data di nascita.
Dopo l'attenzione ricevuta nelle ore successive alla pubblicazione della falla, Gal0is dice via email al Mattino «di essere intenzionato a chiudere o modificare il sito e a sospendere, almeno temporaneamente, l'account Twitter». «Il mio intento - spiega - era quello di avvisare della grave vulnerabilità. Ma, probabilmente proprio a causa delle implicazioni politiche, la vicenda mi sta sfuggendo di mano».
Quella appena presentata è la nuova, migliorata, edizione di Rousseau: piattaforma concepita per raccogliere fondi e consentire agli attivisti M5S di votare per le liste elettorali, dirimere le beghe interne, dire la propria su specifici temi, nonché partecipare alla scrittura delle leggi nazionali, regionali ed europee proposte rispettivamente da parlamentari, consiglieri regionali ed europarlamentari pentastellati.
È il cuore del movimento, o meglio: il suo «sistema operativo», così come è stata presentata agli esordi. Il debutto in beta il 13 aprile del 2016, subito dopo la morte dell'ideatore: il guru Cinquestelle, Gianroberto Casaleggio. Un'eredità che oggi, con le ultime migliorie, aspettava il salto di qualità: «Vogliamo raggiungere un milione di iscritti entro la fine dell'anno prossimo», hanno dichiarato durante la conferenza stampa. Mentre chi non ha username e password per ora può solo vedere ciò che il Movimento propone: non ha l'opportunità né di votare né di proporre norme.