Attacco alle email dei deputati 5 Stelle: cos'è accaduto?

Inizialmente liquidata come una “bufala“, l’azione di un sedicente gruppo di hacker italiano è stata confermata dai due cittadini-onorevoli del MoVimento 5 Stelle – Giulia Sarti e Stefano Vignaroli – che con un videomessaggio pubblicato su YouTube hanno dovuto dare atto della violazione dei rispettivi account di posta elettronica e della pubblicazione online del loro contenuto.
Sorvoliamo, questa volta, sull’utilizzo improprio del termine hacker anche da parte dei protagonisti: hacker è colui che sfrutta le proprie capacità per esplorare, divertirsi, apprendere, senza creare reali danni; il cracker, invece, a come fine ultimo quello di arrecare danni, distruggere informazioni, ingannare ed arricchirsi. In ogni caso, la pubblicazione e la diffusione in Rete delle informazioni personali tratte da account di un qualunque individuo è senza dubbio un’operazione esacrabile sotto ogni punto di vista e non può essere in alcun modo giustificata.

“Gli hacker del PD” – così si è autodefinita la crew che ha messo in pratica l’azione a danno di alcuni parlamentari del MoVimento fondato dal duo Grillo-Casaleggio – hanno aperto un sito web sulla piattaforma Bitbucket ed un account Twitter, strumenti utilizzati per “pubblicizzare” la diffusione dell’intero contenuto dell’account di posta di Giulia Sarti. Circa 7.650 e-mail, tra le quali molte a carattere strettamente personale ed altre correlate con l’attività politica, ricevute oppure inviate nel periodo compreso tra il mese di novembre 2007 e lo scorso 18 aprile.
Gli autori dell'”attacco” hanno poi allestito su Pastebin (sito web molto noto a livello mondiale che consente agli utenti di tutto il mondo, anche senza operare alcun tipo di registrazione, di inviare e pubblicare porzioni di testo di qualunque genere) una pagina contenente i riferimenti diretti per il download dell’account della Sarti, da Microsoft SkyDrive oppure dal sito di hosting Bayfiles.

L’account SkyDrive, presumibilmente attivato o comunque utilizzato da “gli hacker del PD“, sembra sia stato oggi disabilitato, probabilmente su richiesta della Polizia postale e delle comunicazioni. Curiosa la presenza, su SkyDrive del nome del proprietario dell’account (che non citiamo espressamente perché non è dato sapere se anche lui possa essere stato o meno vittima di un attacco oppure se si tratti di una colossale “svista”) e del contenuto dell’account di posta di un altro deputato cinque volte stellato, Stefano Vignaroli.

Il Garante per la protezione dei dati personali, Antello Soro, ha immediatamente condannato il gesto: “l’intrusione nella corrispondenza privata dei parlamentari del Movimento 5 Stelle e la minaccia della pubblicazione del contenuto delle loro email (il gruppo di aggressore ha promesso la diffusione settimanale del contenuto di un nuovo account di posta, n.d.r.) costituiscono fatti gravissimi, suscettibili di essere valutati, oltre che dal punto di vista della violazione di alcune disposizioni del Codice privacy, anche sotto il profilo penale“.
Soro osserva che nelle e-mail trafugate è possibile che siano contenute anche “informazioni legate unicamente alla vita privata dei parlamentari, magari sotto forma di fotografie e filmati. Ed il codice deontologico dei giornalisti in materia di privacy esclude che possano essere indiscriminatamente pubblicate notizie relative ad una persona per il solo fatto che si tratti di un personaggio noto o che eserciti funzioni pubbliche, richiedendo invece il pieno rispetto della loro vita privata quando le notizie o i dati non hanno rilievo sul loro ruolo e sulla loro vita pubblica. Inoltre, considerata nel caso di specie la palese illiceità della raccolta, dovrebbe essere verificato se la pubblicazione da parte dei media anche di notizie relative alla attività politica e pubblica dei parlamentari coinvolti integri comunque una violazione“.
Il Garante diffida quindi anche gli organi d’informazione dal pubblicare dati eventualmente estratti dai file illecitamente pubblicati online riservandosi di prendere successivi provvedimenti sanzionatori.

Nel frattempo, Giulia Sarti e Stefano Vignaroli anticipano di essersi rivolti alla magistratura e confermano l’apertura di un fascicolo da parte della Procura di Roma.

Prendono le distanze dall’operato de “Gli hacker del PD“, sia il partito guidato sino a qualche giorno fa da Pierluigi Bersani, sia Anonymous Italia che nega di aver messo in atto qualsiasi attacco nei confronti del MoVimento 5 Stelle. La comunità degli Anonymous si dichiara espressamente apartitica e prende quindi nettamente le distanze da un’operazione che accosta il nome ed il logo del movimento attivista a quelli di un partito politico italiano. “Non abbiamo colori, se non quelli della giustizia e dei suoi ideali. Non violeremmo mai le mail di un partito solo per saperne dei traffici o perché delusi dal suo operato“, scrive Anonymous Italia in una nota.

Anzi, i membri di Anonymous Italia hanno annunciato di “aver fatto giustizia” e di aver già individuato, con “un’indagine-lampo” appena conclusasi, i nomi di coloro che compongono il gruppo “Gli Hacker del PD“. I nomi dei vari soggetti sarebbero stati già comunicati alla Polizia postale così come altri altri organi competenti.

A parte la denominazione della crew (ha strappato ben più di qualche sorriso…) che si è resa protagonista dell’azione dei confronti di Sarti e Vignaroli (nella rivendicazione video, comunque, si fa riferimento ad un’aggressione di più vasta scala che riguarderebbe decine di parlamentari del MoVimento 5 Stelle), come è stato possibile mettere in atto una così vasta sottrazione di informazioni personali?

Anche se per il momento non vi sono conferme, sul banco degli imputati c’è la scelta di password inadeguate o comunque riutilizzate, pari pari, su altri servizi online. Gli account dei deputati 5 Stelle non sono infatti forniti direttamente dal movimento (i server di Casaleggio e l’infrastruttura informatica che ruota attorno al blog di Grillo, quindi, non c’entrano nulla…) ma sono stati attivati, dai legittimi proprietari, utilizzando i noti servizi di posta Hotmail, Live, GMail, Yahoo, Libero, Tiscali, Email.it, Inwind, Virgilio, Alice, e così via. Gli aggressori devono quindi aver “indovinato” le password (nel caso dell’impiego di credenziali “deboli”) od averle desunte da qualche parte (avevamo pubblicato, a suo tempo, un articolo incentrato sul problema della scelta delle password: L’importanza di scegliere password lunghe e complesse).

Per Matteo Flora qualcuno “ha attaccato le mail private dei singoli parlamentari. Un lavoro tutt’altro che semplice a meno… di avere già user e password. Ed avere le password non è, sfortunatamente, così complesso, come dimostra il teorema della “Same Password”: è infatti noto che oltre il 55% degli utenti della rete utilizza la stessa password su molteplici servizi. Per quanto stupido possa essere, aggiungerei, visto che la compromissione di uno dei servizi significa la automatica compromissione di tutti gli altri servizi“.
L’esperto avanza quindi l’ipotesi che le password possano arrivare dai siti esterni dei MeetUp 5 Stelle: “quale migliore obiettivo, infatti, del recuperare le credenziali da un servizio che ospita centinaia (migliaia?) di nomi utenti e password di seguaci di Beppe Grillo? (…) Se esistono altri servizi similari nella comunità del MoVimento, farei una profonda revisione“, scrive Flora.

Da parte nostra, quindi, ci sentiamo di enumerare quelli che ci sembrano i suggerimenti più utili: verificare di utilizzare – per l’accesso ai propri account di posta – una password sufficientemente lunga e complessa, di utilizzare un account che permetta l’abilitazione della cifratura dei dati tra client e server, non usare mai la stessa password di accesso per più servizi, optare preferibilmente per servizi e-mail che consentono l’autenticazione a due fattori.
Flora suggerisce anche di cambiare password con regolarità e di eliminare dagli archivi online le vecchie e-mail provvedendo ad archiviarle sui propri sistemi, offline.

Quanto importante sia la scelta della password emerge anche in una recentissima ricerca di Sophos: il 55% degli utenti, ancora oggi, utilizzerebbe la stessa password per accedere a più servizi online. È questo uno degli errori più gravi che si possa commettere.