Bug no sistema de votação Blockchain de Moscou pode revelar como os usuários votaram: relatório

Jornalistas descobriram que uma vulnerabilidade em um sistema baseado em blockchain usado em uma pesquisa recente na Rússia permitiu que os votos dos usuários fossem descriptografados.

Na quarta-feira, último dia de votação de emendas constitucionais, o meio de comunicação russo Meduzapublicadopesquisas mostrando que as chaves para decifrar votos poderiam ser recuperadas usando o código HTML da cédula eletrônica.

Na semana passada, o país votou para aprovar ou rejeitar as mudanças na constituição da Rússia, a mais marcante das quaiseliminou a restrição de dois mandatospara presidentes em exercício, permitindo efetivamente que Vladimir Putin concorra à reeleição até 2036.

Em duas partes do país, Moscou e a região de Nizhny Novgorod, as pessoas tinham a opção de votar eletronicamente. Seus votos eram registrados em Exonum-basedsistema blockchaincriado pelo Departamento de Tecnologias da Informação de Moscou com a ajuda da Kaspersky Lab.

De acordo com as descobertas de Meduza, os votos foram criptografados usando a biblioteca criptográfica TweetNaCl.js. Isso fornece um algoritmo determinístico, o que significa que com dados de entrada semelhantes, o sistema gera a mesma chave criptográfica, que é usada para codificar e decodificar o voto.

Como tal, Meduza disse que foi capaz de encontrar as duas chaves que eram universalmente usadas para codificar os votos “sim” e “não”. Isso permitiu que sua equipe decodificasse os dados de votação, que estavam sendopublicadoem arquivos CSV pelo Departamento de Tecnologias da Informação à medida que a votação prosseguia.

Veja também:Hacker tenta interromper o sistema de votação blockchain da Rússia

Essa transparência tinha como objetivo ajudar observadores independentes a verificar a exatidão da contagem de votos, mas também pode ser usada para verificar como pessoas específicas votaram — trazendo a ameaça de que elas podem ser pressionadas a votar de uma determinada maneira em pesquisas futuras, escreveu Meduza.

A BBC já haviarelatadoque empresas de propriedade da cidade em Moscou estavam forçando seus funcionários a se registrar para votação eletrônica e até mesmo a compartilhar credenciais de suas contas com supervisores.

O representante do Departamento de Tecnologias da Informação Artyom Kostyrkocomentouno relatório da Meduza quarta-feira, dizendo que as pessoas só podem decodificar seus próprios votos em seus próprios dispositivos. Isso contradiz o relatório da Meduza, que disse que é possível decodificar qualquer voto usando as mesmas chaves criptográficas.

A assessoria de imprensa do departamento não respondeu ao Request de comentário da CoinDesk até o momento.

A representante de imprensa da Kaspersky Lab, Olga Bogolyubskay, disse ao CoinDesk que a empresa não tem nada a acrescentar ao comentário oficial do departamento, mas disse que tem fornecido "suporte especializado ao Departamento de Tecnologia da Informação de Moscou", juntamente com outras empresas.

Veja também:Ministério da Justiça da Rússia é o mais recente a criticar a proposta de proibição de Cripto

“Temos experiência e conhecimento significativo em garantir a segurança e a transparência da votação em massa online usando tecnologias de blockchain por meio de nossa plataforma Polys”, acrescentou Bogolyubskay.

O relatório de Meduza é apenas a mais recente preocupação de segurança com o sistema de votação. O Departamento de Tecnologias da Informação relatou na sexta-feira que um “nó de observação” havia sidoatacadoenquanto a votação constitucional estava em andamento. No entanto, de acordo com observadores eleitorais independentes na Rússia, não há nenhuma maneira técnica de se conectar ao blockchain de fora, pois ele rodava inteiramente nos servidores do departamento.