تم الكشف مؤخراً عن شركة Voatz، وهي شركة مقرها ولاية ماساتشوستس، والتي تعمل على تطبيق تقنية البلوك تشين الخاص بالانتخابات الأمريكية، مما أثار جدلاً واسعاً من جميع الجهات.
قامت شركة Voatz بالترويج لتطبيق تصويت عبر الهاتف المحمول يعتمد على تقنية البلوك تشين، والذي تم التحقيق فيه ووجد أنه يحتوي على الكثير من الثغرات الأمنية، وبالتالي فقد حظي بالكثير من الانتقادات العامة، وتُعد الثغرات الأمنية خطيرة بشكل خاص فيما يتعلق بأمن البيانات.
تزداد أهمية السيطرة على هذه المشكلات الأمنية مع اقتراب أسبوع الانتخابات في الولايات المتحدة. التدقيق الأمني لتطبيق الانتخابات الأمريكية مراجعة أمنية من 122 صفحة، بالإضافة إلى 78 صفحة أخرى تسلط الضوء على اعتبارات نمذجة التهديدات.
مخاطر أمنية لتطبيق الانتخابات الأمريكية: هل تطبيق Voatz لا يحتاج إلى تقنية البلوك تشين؟
لا تمتد تقنية البلوك تشين التي يستخدمها تطبيق Voatz إلى تطبيق الهاتف المحمول، مما يخلق بدوره مخاطر أمنية لتطبيق الانتخابات الأمريكية.
trac جاذبية تطبيق البلوك تشين هذا في أنه لا يتطلب من الناخبين الثقة بأي جهة، كونه نظامًا لا مركزيًا؛ إلا أن Voatz لا يُعمم هذه الميزة على عامة المستخدمين. يستخدم Voatz تقنية Hyperledger للبلوك تشين كسجل تدقيق. هذه ليست تقنية بلوك تشين متطورة، إذ يمكن القيام بذلك بسهولة باستخدام قاعدة بيانات مزودة بسجل تدقيق.
أظهر تقرير التدقيق أن نظام Voatz لا يوفر أي آلية لكشف هوية الناخبين بناءً على تاريخ تصويتهم عبر التطبيق. وتدّعي Voatz وجود "شبكة مزج" تقوم بتحميل المعلومات على سلسلة الكتل (البلوك تشين) بعد إخفاء هوية الناخبين.
مخاطر أمنية لتطبيق الانتخابات الأمريكية: نتائج معهد ماساتشوستس للتكنولوجيا
معهد ماساتشوستس للتكنولوجيا - نشر باحثون تقريرًا في 13 فبراير يزعمون فيه أن تقنية البلوك تشين الخاصة بـ Voatz بها مشاكل أمنية كبيرة، وردت Voatz في وقت لاحق من نفس اليوم ونفت مزاعم معهد ماساتشوستس للتكنولوجيا.
وكما اتضح، فقد كُتب رد فواتز بعد ثلاثة أيام من قيام بيتس بالتحقق من وجود ثغرات أمنية في معهد ماساتشوستس للتكنولوجيا بعد أن تلقى ملخصًا للمشاكل من وزارة الأمن الداخلي الأمريكية.
هل كانت مشاريع المخاطر الأمنية لتطبيقات الانتخابات الأمريكية السابقة غير مكتملة؟
كان هذا أول تقرير يُجري تحقيقًا معمقًا يُفضي إلى هذه النتائج؛ قبل ذلك، أُجريت العديد من التقارير لكنها لم تكن شاملة بما فيه الكفاية. وقد لخصت شركة "تريل أوف بتس" التقارير السابقة على النحو التالي.
تم إجراء مراجعة أمنية في عام 2019 من قبل هيئة الاتصالات الوطنية، ولكن نظرًا لكونها شركة خاصة، لم يتم توظيف أي خبراء أمنيين تقنيين.
في أكتوبر من عام 2018، أجرت ShiftState مراجعة شاملة لبنية سلسلة الكتل وتدفق البيانات وقرارات تخفيف المخاطر؛ ومع ذلك، لم تشمل هذه المراجعة البحث عن الأخطاء في التطبيق نفسه.
أُجري آخر تقييم أمني في أكتوبر 2019، واقتصر على تقييم موارد الحوسبة السحابية ومدى قابلية التطبيق للاختراق. ولم تتضمن التقارير السابقة تقييمات لمشاكل أمن الخوادم والأنظمة الخلفية، مما جعلها غير شاملة.
من جهة، تدرس ولايات أمريكية مختلفة ومن جهة أخرى، يشير تقرير "تريل أوف بتس" إلى أن هذه التقارير كانت مجرد وثائق تقنية، وأن تجاهل هذه الثغرات في التقييم يثير التساؤل حول ما إذا كان المسؤولون المنتخبون مؤهلين بما يكفي لقراءة هذه الوثائق.
