Fol News

Tutti gli approfondimenti
Tutte le notizie

Rousseau

FogOnLine ha scritto:
Il 3d aperto un anno fa ha mostrato che la piattaforma aveva (e probabilmente ha ancora) tali e tante falle da far ridere (o piangere) a seconda del carattere di chi con l'informatica lavora o di informatica si occupa. E se è vero che l'Italia su tanti aspetti non brilla, in campo informatico ci sono expertise e competenze che evitano ai più le terrificanti figuracce rimediate.
Una cosa mal fatta non può mai essere soluzione di nulla.

E che la piattaforma non sia il male assoluto ti dò ragione, sono gli uomini che determinano come vengono usate le cose.

La vicenza del white hacker @evaristegal0is che avvertiva delle falle (e che in un primo momento fu ringraziato del supporto) e poi ignorato e successivamente denunciato è abbastanza indicativa (la denuncia è ancora in essere e il 1 Agosto scorso @evaristegal0is ha portato lo scambio di email ai PM).
Qui lo scambio di e-mail di @evaristegal0is con il supporto del sito Rousseau:
Rousseau, lo staff e le mail con l'hacker Evariste (poi messo alla gogna)
Chi e Luigi Gubello (Evariste Galois), lo studente messo alla gogna da Casaleggio - Il Foglio




Se mi invitassero a fare un tour aereo su un velivolo privo delle più elementari misure di sicurezza e di scarsa affidabilità dicendo "non c'è niente di meglio", col piffero che ci salirei.


Edit. ricordo che in questo 3d ho inserito dei link a studi/ricerche/sperimentazioni per mettere su piattaforme di voto tramite blockchain....ma, anche lì, ci vogliono le competenze, senza di quelle non si va da nessuna parte :yes:
Clicca per espandere...

La butto li, magari le falle sono volute...
 
da non credere. Prima cosa ho controllato che non fosse una bufala
ma è tutto vero! Associati a Di Maio ci sono ben 3 numeri di cellulare,
oggi andrà a comperarsi una SIM Iliad, senza portabilità...
 
Vincent Vеga;51441125 ha scritto:
Governo, bucato sistema Rousseau: online dati Ministri 5S QUESTA NOTTE I NUMERI DI TELEFONO E LE MAIL PERSONALI DI TONINELLI E DI MAIO SONO STATI HACKERATI
Clicca per espandere...

l "analisi" dell'articolo giunge alle stesse conclusioni (banali peraltro: continua ad essere un colabrodo) del periodo delle nostre critiche...insomma nonostante gli allarmi plurimi nulla è cambiato...spero che il garante sanzioni l'incompetenza-negligenza reiterata visto il GDPR
 
salsipuede ha scritto:
da non credere. Prima cosa ho controllato che non fosse una bufala
ma è tutto vero! Associati a Di Maio ci sono ben 3 numeri di cellulare,
oggi andrà a comperarsi una SIM Iliad, senza portabilità...
Clicca per espandere...

:clap:

non possiamo dire che abbiamo i ministri lontani dal popolo :'(
 
In base al GDPR (e chi ha un'azienda di qualsivoglia dimensione lo sa), in caso di data breach si é tenuti a informare gli utenti cui dati sono stati potenzialmente 'esposti' sia dell'evento, sia delle possibili conseguenze dello stesso che delle eventuali azioni per minimizzarne l'impatto.

Direi che, a quanto pare, non ci siamo neanche su questo fronte:
Twitter

Il riferimento alla blockchain come ci fosse la ricettina già pronta (ci sono studi e sperimentazioni negli USA, ma si tratta pur sempre di sperimentazioni fatte da università e centri di eccellenza e che, necessariamente, prevedono decentralizzazione altrimenti é fuffa e non blockchain) fa sorridere quando non si riesce neanche a mettere in piedi un sito professionale.........

Attendo con curiosità i contenuti della comunicazione ufficiale (obbligatoria) del data breach all'autorità per capire se ci saranno gli stessi riferimenti.
 
anche io sono molto curioso perchè considero il GDPR cosa fondamentale e molto seria
 
groviglio ha scritto:
anche io sono molto curioso perchè considero il GDPR cosa fondamentale e molto seria
Clicca per espandere...

:yes:
Anche perché dubito che l'autorità si accontenti di riferimenti astrusi a blockchain e investimenti come indicato nella (insufficiente) comunicazione agli utenti.

D'altronde un sistema decentralizzato con schema di consenso modello blockchain può servire per garantire unicità, timing e immodificabilità del voto (visto che la suddetta piattaforma vorrebbe proporsi per questo uso).

Ma relativamente a sicurezza di accesso al sito e protezione dei dati c'entra pochissimo.
C'entrano invece regole minime di progettazione di un sito, monitoraggio costante delle vulnerabilità, algoritmi di hash, data-base criptati e regole di accesso.
 
non è Rousseau, ma anche qui 37.500 passwords in chiaro oltre a email, telefono, nome, cognome...
e password come: aldo, rosalba, roberta, giangi, ciccio, roby...
 
Ultima modifica:
Non é Rousseau ma il problema di come vengono salvati i dati degli utenti e di come viene assicurata la loro sicurezza é equivalente.

Gli utenti certamente andrebbero sensibilizzati all'uso di password un po' più 'strutturate', ma se il database di un patronato salva 'in chiaro' i dati degli utenti, password incluse :eek: , qualsiasi falla che consenta accessi indesiderati (e qualche vulnerabilità é sempre presente) produce risultati devastanti.

E scorrendo il comunicato di avviso agli utenti emesso dal patronato....qualche "ingenuità" di realizzazione del sito la si nota a occhio nudo :yes:

INAS - Istituto Nazionale Assistenza Sociale, Patronato CISL -
Primo piano
 
Meraviglie della gestione informatica. :o


Parafrasando Gordon Gekko (1987) "The new law of evolution [...] seems to be survival of the unfittest."
 
FogOnLine ha scritto:
[...] qualsiasi falla che consenta accessi indesiderati (e qualche vulnerabilità é sempre presente) produce risultati devastanti. [...]
Clicca per espandere...
considerato il pressapochismo diffuso da parte dei gestori dei siti, a questo punto sarebbe forse meglio imporre ai peracottari la delega dell'autenticazione a terze parti certificate, tramite protocolli aperti tipo OAuth. Il sistema SPID funziona già così, ma è limitato alla PA. Nel frattempo, quando mi registro su un sito, se possibile uso false generalità e riferimenti e-mail o telefonici usa-e-getta... e mi è già capitato di ritrovare tali riferimenti in files pubblicati in rete!
 
Venerdì la notifica all’Authority. L’esperto Flora: “Piattaforma sfondata”. Ora sarà difficile aggiustarla, nessuno usa più il sistema Movable Type. Venerdì scorso, il 7 settembre 2018, Davide Casaleggio, presidente dell’Associazione Rousseau - che detiene la piattaforma online sulla quale gira la vita politica del Movimento Cinque Stelle - ha formalmente notificato al Garante per la privacy che la piattaforma ha subito un data breach, una violazione di dati a essa consegnati da poco più di centomila italiani iscritti (da 140mila che erano l’anno scorso) [...]

fonte: La Stampa
 
salsipuede ha scritto:
considerato il pressapochismo diffuso da parte dei gestori dei siti, a questo punto sarebbe forse meglio imporre ai peracottari la delega dell'autenticazione a terze parti certificate, tramite protocolli aperti tipo OAuth. Il sistema SPID funziona già così, ma è limitato alla PA. Nel frattempo, quando mi registro su un sito, se possibile uso false generalità e riferimenti e-mail o telefonici usa-e-getta... e mi è già capitato di ritrovare tali riferimenti in files pubblicati in rete!
Clicca per espandere...

La questione sicurezza é diventata non solo importante ma anche molto complessa da gestire e, soprattutto, monitorare continuamente.

Reinvetare ciascuno la ruota é miope ed espone a costi proibitivi ( ci vuole un reparto IT dedicato) con risultati non sempre brillanti.

Soluzioni open-source che sono diventati 'standard' e che godono del supporto e del 'controllo' ad ampio spettro sono certamente preferibili sia dal punto di vista del costo che della manutenzione ( e della sicurezza) rispetto a realizzazione 'proprietarie'.

Se poi il GDPR avesse magari delineato degli standard condivisi...sarebbe stato meglio ancora :yes:
 
9 mesi fa il garante aveva già fatto precise raccomandazioni . ne hanno implementata qualcuna significativa? mi chiedo che tipo di controlli effettui il garante, anche perchè se deve erogare una sanzione esemplare per incuranza/incompetenza (come deve fare a questo punto, credo) ci deve essere un qualche criterio...mi chiedo (forse retoricamente)anche come gli iscritti possano essere tanto insensibili(come mi sembra) alla questione
 
@groviglio, già un anno fa si sapeva che, tecnicamente parlando, la piattaforma per come realizzata era insanabile :yes: e, anche fossero state chiuse tutte le falle, un sistema debole e non correttamente monitorato.....avrà altre vulnerabilità.....ma non so quanto l'autorità sia in grsdo di valutare e discriminare tra dolo e caso.
 
sì, la piattaforma si era dimostrata da tempo un colabrodo (secondo plurime fonti dirette e qualificate). non vi è dubbio...il garante è intervenuto con sanzioni simboliche e raccomandazioni 9 mesi fa...io non posso parlare di dolo, ma mi permetterei senz'altro di parlare di incompetenza/negligenza
 
A beneficio di quanti si sono avventurati a parlare di politica senza avere idea di cosa parlano, riporto l'opinione di un professionista della politica del PD, quindi avversario dei M5S, che però sa di cosa parla.
Cosa intendeva Boccia con la proposta di "smontare e rimontare Rousseau"
.....
... al netto dei "numerosi difetti", l'idea di Casaleggio senior è già "una pagina della storia politica italiana.
 
Devi accedere o registrarti per poter rispondere.
Indietro