Un bug nel sistema di sondaggio blockchain di Mosca può rivelare come hanno votato gli utenti: rapporto

I giornalisti hanno scoperto che una vulnerabilità in un sistema basato su blockchain utilizzato nelle recenti elezioni russe ha permesso di decriptare i voti degli utenti.

Mercoledì, ultimo giorno di votazione sugli emendamenti costituzionali, l'emittente russa Meduzapubblicatoricerca che dimostra che le chiavi per decifrare i voti potrebbero essere recuperate utilizzando il codice HTML della scheda elettorale elettronica.

Nel corso della scorsa settimana, il paese ha votato per approvare o respingere le modifiche alla costituzione russa, la più sorprendente delle qualiha eliminato la restrizione dei due mandatiper i presidenti in carica, consentendo di fatto a Vladimir Putin di ricandidarsi fino al 2036.

In due parti del paese, Mosca e la regione di Nizhny Novgorod, le persone avevano la possibilità di votare elettronicamente. I loro voti venivano registrati su Exonum-basedsistema blockchaincreato dal Dipartimento delle tecnologie dell’informazione di Mosca con l’aiuto di Kaspersky Lab.

Secondo le scoperte di Meduza, i voti erano stati crittografati utilizzando la libreria crittografica TweetNaCl.js. Ciò fornisce un algoritmo deterministico, il che significa che con dati di input simili, il sistema genera la stessa chiave crittografica, che viene utilizzata sia per la codifica che per la decodifica del voto.

Come tale, Meduza ha affermato di essere riuscita a trovare le due chiavi universalmente utilizzate per codificare i voti "sì" e "no". Ciò ha consentito al suo team di decodificare i dati di voto, che venivanopubblicatoin file CSV dal Dipartimento delle tecnologie dell'informazione durante lo svolgimento della votazione.

Vedi anche:Un hacker tenta di interrompere il sistema di voto blockchain della Russia

Tale trasparenza aveva lo scopo di aiutare gli osservatori indipendenti a verificare la correttezza del conteggio dei voti, ma può anche essere utilizzata per verificare come hanno votato determinate persone, con il rischio che possano essere spinte a votare in un certo modo in future elezioni, ha scritto Meduza.

La BBC ha precedentementesegnalatoche le aziende comunali di Mosca avevano costretto i propri dipendenti a registrarsi per il voto elettronico e perfino a condividere le credenziali dei loro account con i supervisori.

Il rappresentante del Dipartimento delle tecnologie dell'informazione Artyom Kostyrkocommentatosul rapporto di Meduza di mercoledì, affermando che le persone possono decodificare i propri voti solo sui propri dispositivi. Ciò contraddice il rapporto di Meduza, che affermava che è possibile decodificare qualsiasi voto utilizzando le stesse chiavi crittografiche.

Al momento in cui scriviamo, l'ufficio stampa del dipartimento non ha risposto alla Request di commento di CoinDesk.

La portavoce stampa di Kaspersky Lab, Olga Bogolyubskay, ha dichiarato a CoinDesk che l'azienda non ha nulla da aggiungere al commento ufficiale del dipartimento, ma ha affermato di aver fornito "supporto specialistico al Dipartimento di Tecnologie informatica di Mosca", insieme ad altre aziende.

Vedi anche:Il Ministero della Giustizia russo è l'ultimo a criticare la proposta di divieto Cripto

"Abbiamo competenza ed esperienza significativa nel garantire la sicurezza e la trasparenza del voto online di massa utilizzando le tecnologie blockchain attraverso la nostra piattaforma Polys", ha aggiunto Bogolyubskay.

Il rapporto di Meduza è solo l'ultimo problema di sicurezza con il sistema di voto. Il Dipartimento delle tecnologie dell'informazione ha riferito venerdì che un "nodo di osservazione" era statoattaccatomentre era in corso il voto costituzionale. Tuttavia, secondo gli osservatori elettorali indipendenti in Russia, non esiste un modo tecnico per connettersi alla blockchain dall'esterno, poiché è stata eseguita interamente sui server del dipartimento.