Violati alcuni account di posta elettronica e pubblicato online il loro contenuto.
Inizialmente liquidata come una “bufala“, l’azione di un
sedicente gruppo di hacker italiano è stata confermata dai due
cittadini-onorevoli del MoVimento 5 Stelle – Giulia Sarti e Stefano
Vignaroli – che con un videomessaggio pubblicato su YouTube hanno dovuto
dare atto della violazione dei rispettivi account di posta elettronica e della pubblicazione online del loro contenuto.
Sorvoliamo, questa volta, sull’utilizzo improprio del termine hacker anche da parte dei protagonisti: hacker è colui che sfrutta le proprie capacità per esplorare, divertirsi, apprendere, senza creare reali danni; il cracker,
invece, a come fine ultimo quello di arrecare danni, distruggere
informazioni, ingannare ed arricchirsi. In ogni caso, la pubblicazione e
la diffusione in Rete delle informazioni personali tratte da account di
un qualunque individuo è senza dubbio un’operazione esacrabile sotto
ogni punto di vista e non può essere in alcun modo giustificata.
“Gli hacker del PD” – così si è autodefinita la crew
che ha messo in pratica l’azione a danno di alcuni parlamentari del
MoVimento fondato dal duo Grillo-Casaleggio – hanno aperto un sito web
sulla piattaforma Bitbucket ed un account Twitter, strumenti
utilizzati per “pubblicizzare” la diffusione dell’intero contenuto
dell’account di posta di Giulia Sarti. Circa 7.650 e-mail, tra
le quali molte a carattere strettamente personale ed altre correlate con
l’attività politica, ricevute oppure inviate nel periodo compreso tra
il mese di novembre 2007 e lo scorso 18 aprile.
Gli autori dell'”attacco” hanno poi allestito su Pastebin
(sito web molto noto a livello mondiale che consente agli utenti di
tutto il mondo, anche senza operare alcun tipo di registrazione, di
inviare e pubblicare porzioni di testo di qualunque genere) una pagina
contenente i riferimenti diretti per il download dell’account della
Sarti, da Microsoft SkyDrive oppure dal sito di hosting Bayfiles.
L’account SkyDrive, presumibilmente attivato o comunque utilizzato da “gli hacker del PD“,
sembra sia stato oggi disabilitato, probabilmente su richiesta della
Polizia postale e delle comunicazioni. Curiosa la presenza, su SkyDrive
del nome del proprietario dell’account (che non citiamo espressamente
perché non è dato sapere se anche lui possa essere stato o meno vittima
di un attacco oppure se si tratti di una colossale “svista”) e del
contenuto dell’account di posta di un altro deputato cinque volte
stellato, Stefano Vignaroli.
Il Garante per la protezione dei dati personali, Antello Soro, ha immediatamente condannato il gesto: “l’intrusione
nella corrispondenza privata dei parlamentari del Movimento 5 Stelle e
la minaccia della pubblicazione del contenuto delle loro email (il gruppo di aggressore ha promesso la diffusione settimanale del contenuto di un nuovo account di posta, n.d.r.) costituiscono
fatti gravissimi, suscettibili di essere valutati, oltre che dal punto
di vista della violazione di alcune disposizioni del Codice privacy,
anche sotto il profilo penale“.
Soro osserva che nelle e-mail trafugate è possibile che siano contenute anche “informazioni
legate unicamente alla vita privata dei parlamentari, magari sotto
forma di fotografie e filmati. Ed il codice deontologico dei giornalisti
in materia di privacy esclude che possano essere indiscriminatamente
pubblicate notizie relative ad una persona per il solo fatto che si
tratti di un personaggio noto o che eserciti funzioni pubbliche,
richiedendo invece il pieno rispetto della loro vita privata quando le
notizie o i dati non hanno rilievo sul loro ruolo e sulla loro vita
pubblica. Inoltre, considerata nel caso di specie la palese illiceità
della raccolta, dovrebbe essere verificato se la pubblicazione da parte
dei media anche di notizie relative alla attività politica e pubblica
dei parlamentari coinvolti integri comunque una violazione“.
Il
Garante diffida quindi anche gli organi d’informazione dal pubblicare
dati eventualmente estratti dai file illecitamente pubblicati online
riservandosi di prendere successivi provvedimenti sanzionatori.
Nel
frattempo, Giulia Sarti e Stefano Vignaroli anticipano di essersi
rivolti alla magistratura e confermano l’apertura di un fascicolo da
parte della Procura di Roma.
Prendono le distanze dall’operato de “Gli hacker del PD“, sia il partito guidato sino a qualche giorno fa da Pierluigi Bersani, sia Anonymous Italia
che nega di aver messo in atto qualsiasi attacco nei confronti del
MoVimento 5 Stelle. La comunità degli Anonymous si dichiara
espressamente apartitica e prende quindi nettamente le distanze da
un’operazione che accosta il nome ed il logo del movimento attivista a
quelli di un partito politico italiano. “Non abbiamo colori, se non
quelli della giustizia e dei suoi ideali. Non violeremmo mai le mail di
un partito solo per saperne dei traffici o perché delusi dal suo operato“, scrive Anonymous Italia in una nota.
Anzi, i membri di Anonymous Italia hanno annunciato di “aver fatto giustizia” e di aver già individuato, con “un’indagine-lampo” appena conclusasi, i nomi di coloro che compongono il gruppo “Gli Hacker del PD“. I nomi dei vari soggetti sarebbero stati già comunicati alla Polizia postale così come altri altri organi competenti.
A parte la denominazione della crew
(ha strappato ben più di qualche sorriso…) che si è resa protagonista
dell’azione dei confronti di Sarti e Vignaroli (nella rivendicazione
video, comunque, si fa riferimento ad un’aggressione di più vasta scala
che riguarderebbe decine di parlamentari del MoVimento 5 Stelle), come è
stato possibile mettere in atto una così vasta sottrazione di
informazioni personali?
Anche se per il momento non vi sono
conferme, sul banco degli imputati c’è la scelta di password inadeguate o
comunque riutilizzate, pari pari, su altri servizi online. Gli account
dei deputati 5 Stelle non sono infatti forniti direttamente dal
movimento (i server di Casaleggio e l’infrastruttura informatica che
ruota attorno al blog di Grillo, quindi, non c’entrano nulla…) ma sono
stati attivati, dai legittimi proprietari, utilizzando i noti servizi
di posta Hotmail, Live, GMail, Yahoo, Libero, Tiscali, Email.it, Inwind,
Virgilio, Alice, e così via. Gli aggressori devono quindi aver
“indovinato” le password (nel caso dell’impiego di credenziali “deboli”)
od averle desunte da qualche parte.
Per Matteo Flora qualcuno “ha
attaccato le mail private dei singoli parlamentari. Un lavoro
tutt’altro che semplice a meno… di avere già user e password. Ed avere
le password non è, sfortunatamente, così complesso, come dimostra il
teorema della “Same Password”: è infatti noto che oltre il 55% degli
utenti della rete utilizza la stessa password su molteplici servizi. Per
quanto stupido possa essere, aggiungerei, visto che la compromissione
di uno dei servizi significa la automatica compromissione di tutti gli
altri servizi“.
L’esperto avanza quindi l’ipotesi che le password possano arrivare dai siti esterni dei MeetUp 5 Stelle: “quale
migliore obiettivo, infatti, del recuperare le credenziali da un
servizio che ospita centinaia (migliaia?) di nomi utenti e password di
seguaci di Beppe Grillo? (…) Se esistono altri servizi similari nella
comunità del MoVimento, farei una profonda revisione“, scrive Flora.
Da
parte nostra, quindi, ci sentiamo di enumerare quelli che ci sembrano i
suggerimenti più utili: verificare di utilizzare – per l’accesso ai
propri account di posta – una password sufficientemente lunga e
complessa, di utilizzare un account che permetta l’abilitazione della
cifratura dei dati tra client e server, non usare mai la stessa password
di accesso per più servizi, optare preferibilmente per servizi e-mail
che consentono l’autenticazione a due fattori.
Flora suggerisce anche
di cambiare password con regolarità e di eliminare dagli archivi online
le vecchie e-mail provvedendo ad archiviarle sui propri sistemi,
offline.
Quanto importante sia la scelta della password emerge anche in una recentissima ricerca di Sophos: il 55% degli utenti, ancora oggi, utilizzerebbe la stessa password per accedere a più servizi online. È questo uno degli errori più gravi che si possa commettere.
