La empresa con sede en Massachusetts, Voatz, los blockchain , ha sido descubierta recientemente y está recibiendo críticas de todos lados.
Voatz ha estado promocionando una aplicación de votación móvil blockchain que ha sido investigada por tener muchas lagunas de seguridad y, por lo tanto, ha recibido muchas críticas públicas, y las lagunas de seguridad son particularmente graves con respecto a la seguridad de los datos.
La importancia de controlar estos problemas de seguridad es aún más importante a medida que se acerca la semana de las elecciones en los EE. UU. El informe de auditoría sobre la seguridad de la aplicación electoral de EE. UU. incluye una revisión de seguridad de 122 páginas con 78 páginas adicionales que destacan las consideraciones de modelado de amenazas.
Riesgos de seguridad de la aplicación electoral de EE. UU.: ¿Voatz no necesita blockchain?
La cadena de bloques que usa Voatz no se extiende al cliente móvil, lo que a su vez crea riesgos de seguridad para las aplicaciones electorales de EE. UU.
El trac de esta aplicación de cadena de bloques es que no requiere que los votantes confíen en nadie, ya que es un sistema descentralizado; sin embargo, Voatz no extiende esto al público. Voatz utiliza una cadena de bloques de Hyperledger como registro de auditoría. Esta no es una tecnología de cadena de bloques de vanguardia en uso, ya que esto se puede hacer fácilmente mediante una base de datos con un registro de auditoría.
El informe de auditoría encontró que el sistema Voatz no tiene ningún alivio para desanonimizar a los votantes en función del período en que se emitió su voto en la aplicación. Voatz afirma que hay una "red mixta" que envía la información a la cadena de bloques después de que se anonimizan.
Riesgos de seguridad de la aplicación electoral de EE. UU.: se confirman los hallazgos del MIT
Instituto de Tecnología de Massachusetts: los investigadores del MIT publicaron un informe el 13 de febrero en el que afirmaban que la cadena de bloques de Voatz tenía importantes problemas de seguridad a los que Voatz respondió más tarde ese mismo día y refutó las afirmaciones del MIT.
Resulta que la respuesta de Voatz se escribió tres días después de que el rastro de Bits verificara las vulnerabilidades de seguridad de la ubicuidad al MIT después de que recibió un resumen de los problemas por parte del Departamento de Seguridad Nacional de los Estados Unidos.
¿Los proyectos anteriores de riesgos de seguridad de aplicaciones electorales de EE. UU. no estaban completos?
Este fue el primer informe que realizó una investigación de caja blanca que lleva a estos hallazgos; antes de esto, se realizaron muchos informes, pero no fueron lo suficientemente completos. Trail of Bits resumió los informes anteriores de la siguiente manera.
realizó una revisión de seguridad en 2019 , pero debido a que era privada, no se contrató a expertos técnicos en seguridad.
En octubre de 2018, ShiftState realizó una revisión de higiene generalizada de la arquitectura de blockchain, el flujo de datos y las decisiones de mitigación de amenazas; sin embargo, esta revisión no contó para buscar errores en la propia aplicación.
La última revisión de seguridad se realizó en octubre de 2019, y solo evaluó los recursos de la nube y si la aplicación era pirateable o no. Los informes anteriores no incluían evaluaciones de los problemas de seguridad del servidor y de back-end, lo que hacía que los informes anteriores fueran incompletos.
Por un lado, diferentes estados de EE. UU. están considerando la votación basada en blockchain. Mientras que, por otro lado, el informe Trail of Bits afirma que estos informes eran simplemente documentos técnicos, y el hecho de pasar por alto estas lagunas de evaluación plantea la cuestión de si los funcionarios electos están lo suficientemente calificados para leer estos documentos.
