Паспортные данные абсолютно всех участников электронного голосования по поправкам в Конституцию при небольших усилиях были доступны всем желающим, выяснила «Медуза». Выявлен не только серьезный организационный просчет: полученная информация позволила оценить количество голосовавших повторно и по недействительным паспортам.

Что произошло

«Медуза» выяснила, что паспортные данные на избирательных участках во время голосования по поправкам сверяли с помощью специальной программы. Целью сверки было недопущение повторного голосования по паспорту лиц, уже зарегистрировавшихся для электронного голосования.

• Установочный файл программы в запароленном архиве degvoter.zip был размещен на сервере одного из госорганов.

• Файл находился в общем доступе, а инструкция по установке вместе с паролем была разослана по всем территориальным избирательным комиссиям. «Документ не содержал никаких грифов секретности и конфиденциальности», — отмечает «Медуза».

• Впрочем, и сам пароль оказался нестойким — он подбирался с помощью несложного хакерского инструментария.

• Скачав программу, пользователь получал с ней локальный файл базы данных серий и номеров более чем миллиона паспортов россиян, зарегистрировавшихся для электронного голосования.

• База оказалась зашифрованной с помощью хэш-функции, однако ее стойкость также была недостаточной высокой. Журналистам удалось найти использованную хэш-функцию (ей оказалась стандартная SHA-256) и восстановить все номера паспортов.

«В итоге у нас оказались 1 190 726 записей с паспортными данными. Ровно столько избирателей, по данным властей, записалось на дистанционное электронное голосование», — пишет издание.

Почему это важно

Это не первый случай утечки данных с электронного голосования: инцидент такого рода произошел на выборах в Мосгордуму в 2019 году, где обкатывалась технология. Тогда из-за небрежности в реализации блокчейна посторонним людям удалось расшифровать, за кого голосовал конкретный избиратель.

Организационный просчет (массовая рассылка пароля и размещение программы в открытом доступе, а базы — в локальном файле) в сочетании со слабой защитой данных привел к тому, что фактически в открытом доступе оказались номера паспортов всех участников электронного голосования в Москве и Нижегородской области.

Полученная база номеров позволила журналистам обнаружить 91 потенциальный случай двойного голосования и от двух до четырех с лишним тысяч проголосовавших недействительных паспортов.

Все это идет вразрез с заявлениями властей о том, что электронное голосование было совершенно безопасно, а волеизъявление избирателя надежно защищено. Как раз сегодня президент Владимир Путин поблагодарил ЦИК за работу, организованную «по-современному, очень качественно, на высоком уровне», а председатель ЦИК Элла Памфилова не исключила проведения выборов в сентябре в течение двух-трех дней вместо одного.

О том, что онлайн-голосование было честным, но не очень тайным, писал и The Bell.