Произошла утечка паспортных данных участников онлайн голосования
Произошла утечка паспортных данных участников онлайн голосования
Alexander Antipov
В базе содержались только серия и номер паспорта, по которым идентифицировать владельца напрямую невозможно.
Паспортные данные абсолютно всех участников электронного голосования по поправкам в Конституцию при небольших усилиях были доступны всем желающим, выяснила «Медуза». Выявлен не только серьезный организационный просчет: полученная информация позволила оценить количество голосовавших повторно и по недействительным паспортам.
Изначально предполагалось, что эту информацию смогут использовать члены УИК, чтобы проверить, записывался ли конкретный избиратель на дистанционное голосование и пришел ли он на него в период с 25 по 30 июня.
Для этого территориальные избиркомы скачивали зашифрованный архив degvoter.zip и пароль от него с одного из государственных сайтов. По данным «Медузы», 1 июля как минимум с 9 до 12 часов по МСК архив свободно мог скачать любой желающий. Сейчас ссылка на государственный сайт уже не работает, но она до сих пор позволяет найти и скачать архив.
Программа для проверки представлена в виде исполняемого файла degvoter.exe, который работает с серией и номером паспорта гражданина РФ. При этом сами сведения о паспортах лежали в базе данных db.sqlite, не защищенной паролем.
Серия/номер паспорта без каких-либо других данных (ФИО, год рождения, адрес, телефон и т.п.) не представляет из себя ничего, кроме простого набора цифр, сформированного по известной “формуле”. Однако эти данные могут быть использованы в различных сценариях, например сопоставив с другими утечками можно идентифицировать граждан, которые приняли участия в голосовании.
Изначально предполагалось, что эту информацию смогут использовать члены УИК, чтобы проверить, записывался ли конкретный избиратель на дистанционное голосование и пришел ли он на него в период с 25 по 30 июня.
Для этого территориальные избиркомы скачивали зашифрованный архив degvoter.zip и пароль от него с одного из государственных сайтов. По данным «Медузы», 1 июля как минимум с 9 до 12 часов по МСК архив свободно мог скачать любой желающий. Сейчас ссылка на государственный сайт уже не работает, но она до сих пор позволяет найти и скачать архив.
Программа для проверки представлена в виде исполняемого файла degvoter.exe, который работает с серией и номером паспорта гражданина РФ. При этом сами сведения о паспортах лежали в базе данных db.sqlite, не защищенной паролем.
Серия/номер паспорта без каких-либо других данных (ФИО, год рождения, адрес, телефон и т.п.) не представляет из себя ничего, кроме простого набора цифр, сформированного по известной “формуле”. Однако эти данные могут быть использованы в различных сценариях, например сопоставив с другими утечками можно идентифицировать граждан, которые приняли участия в голосовании.
Цифровые следы - ваша слабость, и хакеры это знают.