L’ Election Assistance Commission (EAC) ha confermato la possibilità di essere stata vittima di una violazione della sicurezza.
L’EAC è l’organo statunitense, fondato nel 2002 come parte della Help America Vote Act (HAVA) , che si occupa della certificazione delle macchine usate per votare oltre ad individuare soluzioni per migliorare le pratiche con cui svolgere le operazioni di voto.
L’HAVA è stata voluta e tramutata in legge dall’allora presidente George W. Bush per evitare una nuova debacle come quella avvenuta in Florida durante le elezioni del 2000, in cui lo stato fortemente conteso ha visto più di due milioni di schede elettorali annullate perché le macchine registrarono voti multipli o del tutto assenti. La conferma del possibile attacco arriva dopo che un rapporto presentato a inizio dicembre dalla società di sicurezza Recorded Future aveva sollevato il sospetto che EAC fosse stata vittima di un’intrusione a novembre 2016, periodo durante il quale si sono svolte le elezioni presidenziali statunitensi. La stessa Recorded Future ha individuato l’hack dopo aver scoperto che qualcuno offriva credenziali per il login di accesso ai computer EAC.
Per valutare la portata degli accessi non autorizzati è stato quindi ingaggiato il venditore, soprannominato Rasputin, che come prova ha inviato una pagina di report di stato del sistema per dimostrare di aver ottenuto l’accesso al sistema backend di EAC. Ulteriori analisi hanno identificato più di 100 credenziali di accesso potenzialmente compromesse tra cui alcune con privilegi da amministratore e che potrebbero essere utilizzati per accedere a informazioni sensibili, modificare furtivamente o impiantare malware sul sito EAC, il che costituirebbe un ottimo banco di prova per un potenziale attacco watering hole con dipendenti del governo come bersaglio.
Sempre secondo Recorded Future, Rasputin avrebbe affermato di aver ottenuto l’accesso al sistema tramite una vulnerabilità SQL injection (SQLI) senza patch, offrendosi di venderne i dettagli a intermediari di governi del Medio Oriente.
Tuttavia in un periodo in cui i sospetti che ingerenze esterne di hacker russi abbiano potuto influire sulla correttezza del risultato elettorale, occorre precisare che il fatto che l’hacker responsabile dell’attacco a EAC si faccia chiamare Rasputin non significa necessariamente che sia russo e soprattutto che aver violato l’ente che certifica le macchine con cui si vota non equivale ad aver avuto accesso alle macchine durante la votazione.
Certamente viene riportata in primo piano la questione sicurezza dei sistemi di votazione automatici , che ancora una volta si dimostrano ben lontani dall’offrire gli elevati standard di sicurezza che dovrebbero essere garantiti vista la delicatezza del campo in cui vengono poi ad essere utilizzati.
Luca Algieri