Domenica 28 febbraio il sito di whistleblower Distributed Denial of Secrets ha dato avvio alla pubblicazione di 70 gigabyte di dati, sottratti dagli hacker JaXpArO e My Little Anonymous Revival Project, a Gab, il social prediletto dagli estremisti di destra, da quando, lo scorso 8 e 9 gennaio, Parler è stato rimosso da Google Play e Apple Store, nonché dai server di Amazon.
L’effrazione digitale ha avuto lo scopo di far luce sulle identità degli iscritti alla piattaforma social, in gran parte teorici della cospirazione di QAnon, suprematisti bianchi e sostenitori delle cospirazioni per brogli elettorali delle ultime elezioni presidenziali americane.
L’hacker JaXpArO ha affermato di aver estratto i dati di Gab tramite un attacco di tipo SQL injection nel sito bersaglio, andando così a scaricare messaggi privati e post pubblici.
Dall’analisi del codice open source di Gab è emerso che la falla risiedeva in una modifica effettuata da tal Fosco Marotto, un ex ingegnere di Facebook che dallo scorso novembre ha assunto la carica di CTO all’interno di Gab.
Come ricostruito da Andy Greenberg per Wired, gli hacker in primis sono riusciti ad avere accesso ai messaggi di oltre 15mila iscritti al social, raccolti in un file denominato “chatlogs.txt” che inizia con una nota aggiunta da JaXpArO: “FUCK TRUMP. FUCK COLONIZERS & CAPITALISTS. DEATH TO AMERIKKKA”; da lì, con le informazioni raccolte, sono riusciti ad accedere ai post facendo copia di tutti i file testuali e, in ultimo, hanno violato i profili degli utenti, recuperando le password nonostante fossero protette, a quanto pare non sufficientemente, da hash.
Secondo alcuni analisti la falla risiederebbe nella rimozione della funzione di “sanificazione” degli input dannosi degli utenti, prima di essere inviati al server centrale, sostituendola con la funzione Rails “find_by_sql” che, sebbene ampiamente utilizzata, a differenza della precedente non impedisce l’input di stringhe di codice infetto.
Sta di fatto che il primo marzo Gab ha rimosso dal suo sito la funzione “commit” che permetteva di memorizzare tutte le modifiche precedentemente effettuate sui dati. Al loro posto, l’azienda ha fornito il codice sorgente sotto forma di un file di archivio in formato zip, protetto dalla password «JesusChristIsKingTrumpWonTheElection».
Emma Best, cofondatrice di Distributed Denial of Secrets, pur riconoscendo che il data breach rappresenti una vera e propria miniera d’oro per l’analisi di militanti neonazisti, appartenenti a QAnon e di tutti coloro i quali hanno avuto a che fare con gli episodi dello scorso 6 gennaio, ha precisato che tutte le informazioni estrapolate nel GabLeaks non saranno pubblicate online con libero accesso, onde evitare possibili violazioni della privacy degli utenti, ma saranno a disposizione di sociologi, giornalisti e ricercatori selezionati.
Dal canto suo Andrew Torba, Ceo di Gab, con un post sul blog della piattaforma ha minimizzato l’accaduto. Dapprima ha accusato alcuni giornalisti che in passato avevano scritto articoli critici nei confronti della sua società di esser complici degli hacker, poi ha dichiarato di aver subito proceduto ad un audit completo, chiarendo che “GAB non raccoglie informazioni personali dei suoi utenti quali numeri di telefono, numeri di previdenza sociale, date di nascita o informazioni sulla salute o le carte di credito”. In un post successivo ha ammesso che sia il suo account che quello, presumibilmente, di Donald Trump erano stati compromessi.
