شركة Voatz، ومقرها ماساتشوستس، والتي blockchain ، مؤخرًا وتحظى باهتمام من جميع الجهات.
يقوم Voatz بالترويج لتطبيق التصويت عبر الهاتف المحمول blockchain والذي تم التحقيق فيه لوجود الكثير من الثغرات الأمنية وبالتالي فقد حصل على الكثير من الانتقادات العامة، والثغرات الأمنية خطيرة بشكل خاص فيما يتعلق بأمن البيانات.
وتزداد أهمية السيطرة على هذه القضايا الأمنية مع اقتراب أسبوع الانتخابات في الولايات المتحدة. التدقيق حول أمان تطبيق الانتخابات الأمريكية مراجعة أمنية مكونة من 122 صفحة مع 78 صفحة إضافية تسلط الضوء على اعتبارات نمذجة التهديدات.
المخاطر الأمنية لتطبيق الانتخابات الأمريكية: ألا يحتاج Voatz إلى blockchain؟
لا تمتد تقنية blockchain التي يستخدمها Voatz إلى عميل الهاتف المحمول، مما يؤدي بدوره إلى خلق مخاطر أمنية لتطبيق الانتخابات الأمريكية.
إن أهم ما trac تطبيق blockchain هذا هو أنه لا يتطلب من الناخبين أن يثقوا بأي شخص لأنه نظام لا مركزي. ومع ذلك، Voatz لا ينشر هذا للجمهور. يستخدم Voatz سلسلة Hyperledger blockchain كسجل تدقيق. هذه ليست تقنية blockchain متطورة قيد الاستخدام حيث يمكن القيام بذلك بسهولة عن طريق قاعدة بيانات تحتوي على سجل تدقيق.
وجد تقرير التدقيق أن نظام Voatz ليس لديه أي تخفيف لإلغاء إخفاء هوية الناخبين بناءً على الفترة التي تم فيها الإدلاء بأصواتهم في التطبيق. Voatz أن هناك "mixnet" الذي ينقل المعلومات إلى blockchain بعد أن يتم إخفاء هويتها.
المخاطر الأمنية لتطبيق الانتخابات الأمريكية: تم تأكيد النتائج التي توصل إليها معهد ماساتشوستس للتكنولوجيا
معهد ماساتشوستس للتكنولوجيا - نشر باحثون من معهد ماساتشوستس للتكنولوجيا تقريرًا في 13 فبراير يزعمون أن blockchain الخاص بـ Voatz به مشكلات أمنية كبيرة أجاب عليها Voatz في وقت لاحق من نفس اليوم ودحض ادعاءات معهد ماساتشوستس للتكنولوجيا.
كما اتضح، تمت كتابة الرد من Voatz بعد ثلاثة أيام من التحقق من وجود ثغرات أمنية في كل مكان لمعهد ماساتشوستس للتكنولوجيا بعد تلقيه ملخصًا للقضايا من قبل وزارة الأمن الداخلي للولايات المتحدة.
لم تكن مشاريع المخاطر الأمنية السابقة لتطبيق الانتخابات الأمريكية مكتملة؟
كان هذا هو التقرير الأول الذي أجرى تحقيقًا في الصندوق الأبيض أدى إلى هذه النتائج؛ قبل ذلك، تم إجراء العديد من التقارير ولكنها لم تكن شاملة بما فيه الكفاية. لخص Trail of Bits التقارير السابقة على النحو التالي.
تم إجراء مراجعة أمنية في عام 2019 بواسطة NCC، ولكن نظرًا لأنها كانت خاصة، لم يكن هناك أي توظيف لخبراء أمنيين تقنيين.
في أكتوبر من عام 2018، أجرت ShiftState مراجعة صحية واسعة النطاق لبنية blockchain وتدفق البيانات وقرارات التخفيف من التهديدات؛ ومع ذلك، لم يتم احتساب هذه المراجعة للبحث عن الأخطاء في التطبيق نفسه.
تم إجراء آخر مراجعة أمنية في أكتوبر 2019، والتي قامت فقط بتقييم الموارد السحابية وما إذا كان التطبيق قابلاً للاختراق أم لا. ولم تشتمل التقارير السابقة على تقييمات للمشكلات الأمنية للخادم والواجهة الخلفية، مما جعل التقارير السابقة غير شاملة.
فمن ناحية، تفكر ولايات أمريكية مختلفة في حين يشير تقرير "Trail of Bits" من ناحية أخرى إلى أن هذه التقارير كانت مجرد وثائق فنية، وإغفال ثغرات التقييم هذه يثير التساؤل حول ما إذا كان المسؤولون المنتخبون مؤهلين بما يكفي لقراءة هذه الوثائق.
