Un gruppo di giornalisti ha scoperto una vulnerabilità nel sistema basato su blockchain utilizzato per il recente sondaggio russo. In particolare, il bug farebbe in modo che i voti degli utenti possano essere decifrati.
Il report del media russo Meduza
Mercoledì scorso, l’ultimo giorno di voto sugli emendamenti costituzionali, il media russo Meduza ha pubblicato una ricerca che mostra che le chiavi per decifrare i voti potrebbero essere recuperate usando il codice HTML del voto elettronico.
La scorsa settimana, il Paese ha votato per decidere se approvare o respingere le modifiche alla costituzione della Russia, la più eclatante delle quali eliminava la restrizione a due mandati per i presidenti in carica, consentendo di fatto a Vladimir Putin di candidarsi per la rielezione fino al 2036.
In due parti del paese, Mosca e la regione di Nizhny Novgorod, le persone hanno avuto la possibilità di votare elettronicamente. I loro voti sono stati registrati sul sistema blockchain basato su Exonum creato dal Dipartimento di Tecnologie dell’Informazione di Mosca con l’aiuto di Kaspersky Lab.
Secondo i risultati di Meduza, i voti sono stati crittografati utilizzando la libreria cripto TweetNaCl.js. Ciò fornisce un algoritmo deterministico, nel senso che con dati di input simili, il sistema genera la stessa chiave cripto che viene utilizzata sia per codificare che per decodificare il voto.
Meduza sostiene di aver trovato autonomamente le due chiavi universalmente utilizzate per codificare i voti “sì” e “no”. Questo ha permesso al suo team di decodificare i dati di voto, che venivano pubblicati in file CSV dal Dipartimento di Tecnologie dell’Informazione man mano che la votazione procedeva.
Tale trasparenza aveva lo scopo di aiutare gli osservatori indipendenti a verificare la correttezza del conteggio dei voti, ma poteva anche essere usata per verificare il modo in cui le persone hanno votato, creando le condizioni per cui alcuni potrebbero essersi sentiti costretti a votare in un certo modo nel sondaggio, ha scritto Meduza.
I dubbi della BBC e l’attacco da parte di un hacker durante la votazione
La BBC aveva precedentemente riferito che le società statali di Mosca avevano costretto i loro dipendenti a registrarsi per il voto elettronico e persino a condividere le credenziali dei loro account con i supervisori.
L’addetta alla stampa di Kaspersky Lab, Olga Bogolyubskay, ha dichiarato che la società non ha nulla da aggiungere al commento ufficiale del dipartimento, sostenendo di aver fornito “supporto specializzato al Dipartimento di Tecnologia dell’Informazione di Mosca” insieme ad altre società.
“Abbiamo una significativa esperienza nel garantire la sicurezza e la trasparenza del voto di massa online utilizzando le tecnologie blockchain attraverso la nostra piattaforma Polys”, ha aggiunto Bogolyubskay.
La relazione di Meduza è solo l’ultima preoccupazione per la questione della sicurezza del sistema di voto. Il Dipartimento di tecnologie dell’informazione ha riferito venerdì che un “nodo di osservazione” era stato manomesso mentre era in corso il voto costituzionale.
Tuttavia, secondo gli osservatori elettorali indipendenti in Russia, non esiste un modo tecnico per connettersi alla blockchain dall’esterno, poiché funzionava interamente sui server del dipartimento. Insomma, la blockchain è davvero sicura come si dice? E voi cosa utilizzate per comprare Bitcoin in modo sicuro? Fatecelo sapere nei commenti!
