Một nhóm phóng viên đã phát hiện ra một lỗ hổng trong hệ thống dựa trên blockchain được sử dụng cho cuộc khảo sát gần đây của Nga. Đặc biệt, lỗi này sẽ làm cho xếp hạng của người dùng có thể được giải mã.
Báo cáo của Meduza truyền thông Nga
Hôm thứ Tư, ngày cuối cùng của cuộc bỏ phiếu về sửa đổi hiến pháp, truyền thông Nga Meduza đã công bố nghiên cứu cho thấy rằng các chìa khóa để giải mã phiếu bầu có thể được truy xuất bằng cách sử dụng mã HTML của cuộc bỏ phiếu điện tử.
Tuần trước, nước này đã bỏ phiếu để quyết định xem có nên thông qua hay bác bỏ những thay đổi trong hiến pháp của Nga, trong đó nghiêm trọng nhất là dỡ bỏ giới hạn hai nhiệm kỳ đối với các tổng thống đương nhiệm, cho phép Vladimir Putin tái tranh cử cho đến khi đến năm 2036.
Tại hai vùng của đất nước, Moscow và vùng Nizhny Novgorod, người dân đã có cơ hội bỏ phiếu điện tử. Các phiếu bầu của họ được ghi lại trên hệ thống blockchain dựa trên Exonum do Sở Công nghệ Thông tin Moscow tạo ra với sự trợ giúp của Kaspersky Lab.
Theo phát hiện của Meduza, các phiếu bầu đã được mã hóa bằng thư viện tiền điện tử TweetNaCl.js. Điều này cung cấp một thuật toán xác định, có nghĩa là với dữ liệu đầu vào tương tự, hệ thống tạo ra cùng một khóa mật mã được sử dụng để vừa mã hóa vừa giải mã phiếu bầu.
Meduza tuyên bố đã độc lập tìm thấy hai khóa được sử dụng phổ biến để mã hóa các phiếu bầu "có" và "không". Điều này cho phép nhóm của anh ấy giải mã dữ liệu bỏ phiếu, được xuất bản trong tệp CSV bởi Bộ Công nghệ Thông tin khi quá trình bỏ phiếu diễn ra.
Sự minh bạch như vậy nhằm giúp các quan sát viên độc lập xác minh tính đúng đắn của việc kiểm phiếu, nhưng nó cũng có thể được sử dụng để xác minh cách mọi người bỏ phiếu, tạo ra các điều kiện mà theo đó một số có thể cảm thấy bị buộc phải bỏ phiếu tại một thời điểm nhất định. trong cuộc khảo sát, Meduza viết.
Những nghi ngờ của BBC và cuộc tấn công của một hacker trong cuộc bỏ phiếu
BBC trước đó đã đưa tin rằng các công ty quốc doanh ở Moscow đã buộc nhân viên của họ phải đăng ký bỏ phiếu điện tử và thậm chí chia sẻ thông tin đăng nhập tài khoản của họ với người giám sát.
Thư ký báo chí của Kaspersky Lab Olga Bogolyubskay cho biết công ty không có gì để bổ sung vào bình luận chính thức của bộ, tuyên bố rằng họ đã cung cấp "hỗ trợ chuyên biệt cho Sở Công nghệ Thông tin Moscow" cùng với các công ty khác.
Bogolyubskay nói thêm: “Chúng tôi có kinh nghiệm đáng kể trong việc đảm bảo tính bảo mật và minh bạch của việc bỏ phiếu hàng loạt trực tuyến bằng cách sử dụng công nghệ blockchain thông qua nền tảng Polys của chúng tôi.
Báo cáo của Meduza chỉ là mối quan tâm mới nhất về vấn đề an ninh của hệ thống bỏ phiếu. Bộ Công nghệ Thông tin đã báo cáo hôm thứ Sáu rằng một "nút quan sát" đã bị giả mạo trong khi cuộc bỏ phiếu hiến pháp đang được tiến hành.
Tuy nhiên, theo các nhà quan sát bầu cử độc lập ở Nga, không có cách kỹ thuật nào để kết nối với blockchain từ bên ngoài, vì nó hoạt động hoàn toàn trên các máy chủ của bộ. Tóm lại, blockchain có thực sự an toàn như họ nói? Và bạn sử dụng nó để làm gì mua bitcoin một cách an toàn? Hãy cho chúng tôi biết trong phần bình luận!
