Um grupo de repórteres descobriu uma vulnerabilidade no sistema baseado em blockchain usado para a recente pesquisa russa. Em particular, o bug faria com que as avaliações do usuário pudessem ser descriptografadas.
O relatório da mídia russa Meduza
Na quarta-feira, último dia de votação das emendas constitucionais, a mídia russa Meduza publicou uma pesquisa mostrando que as chaves para decifrar votos poderiam ser recuperadas usando o código HTML do voto eletrônico.
Na semana passada, o país votou para decidir se aprova ou rejeita as mudanças na constituição da Rússia, a mais flagrante das quais suspendeu a restrição de dois mandatos aos presidentes em exercício, permitindo efetivamente que Vladimir Putin concorra à reeleição até a 2036.
Em duas partes do país, Moscou e região de Nizhny Novgorod, as pessoas tiveram a oportunidade de votar eletronicamente. Seus votos foram registrados no sistema blockchain baseado em Exonum criado pelo Departamento de Tecnologias da Informação de Moscou com a ajuda da Kaspersky Lab.
De acordo com as descobertas de Meduza, os votos foram criptografados usando a biblioteca de criptografia TweetNaCl.js. Isso fornece um algoritmo determinístico, o que significa que, com dados de entrada semelhantes, o sistema gera a mesma chave criptográfica que é usada para criptografar e descriptografar o voto.
Meduza afirma ter encontrado independentemente as duas chaves universalmente usadas para codificar os votos "sim" e "não". Isso permitiu que sua equipe decodificasse os dados da votação, que eram publicados em arquivos CSV pelo Departamento de Tecnologias da Informação no decorrer da votação.
Essa transparência visava ajudar observadores independentes a verificar a exatidão da contagem de votos, mas também poderia ser usada para verificar a maneira como as pessoas votavam, criando as condições sob as quais alguns poderiam se sentir compelidos a votar em um determinado caminho na pesquisa, escreveu Meduza.
As dúvidas da BBC e o ataque de um hacker durante a votação
A BBC havia relatado anteriormente que as empresas estatais de Moscou forçaram seus funcionários a se registrar para votação eletrônica e até mesmo compartilhar suas credenciais de conta com supervisores.
A secretária de imprensa da Kaspersky Lab, Olga Bogolyubskay, disse que a empresa não tem nada a acrescentar ao comentário oficial do departamento, alegando que forneceu "suporte especializado ao Departamento de Tecnologia da Informação de Moscou" junto com outras empresas.
“Temos uma experiência significativa em garantir a segurança e a transparência da votação em massa online usando tecnologias de blockchain por meio de nossa plataforma Polys”, acrescentou Bogolyubskay.
O relatório de Meduza é apenas a mais recente preocupação sobre a questão da segurança do sistema de votação. O Departamento de Tecnologias da Informação informou na sexta-feira que um "nó de observação" foi adulterado enquanto a votação constitucional estava em andamento.
No entanto, de acordo com observadores eleitorais independentes na Rússia, não há maneira técnica de se conectar ao blockchain de fora, já que ele funcionava inteiramente nos servidores do departamento. Resumindo, o blockchain é realmente seguro, como dizem? E para que você o usa comprar Bitcoins com segurança? Deixe-nos saber nos comentários!
