A empresa sediada em Massachusetts, Voatz, o blockchain dos riscos de segurança do aplicativo eleitoral dos EUA, foi recentemente descoberta e atraiu atenção de todos os lados.
A Voatz tem promovido um aplicativo de votação móvel blockchain que foi investigado por ter muitas brechas de segurança e, portanto, recebeu muitas críticas públicas, e as brechas de segurança são particularmente graves no que diz respeito à segurança de dados.
A importância de controlar estas questões de segurança é ainda mais importante à medida que a semana eleitoral se aproxima nos EUA. O relatório de auditoria sobre a segurança do aplicativo eleitoral dos EUA inclui uma revisão de segurança de 122 páginas com 78 páginas adicionais destacando considerações de modelagem de ameaças.
Riscos de segurança de aplicativos eleitorais nos EUA: Voatz não precisa de blockchain?
O blockchain que Voatz usa não se estende ao cliente móvel, por sua vez, criando riscos de segurança para aplicativos eleitorais nos EUA.
A trac deste aplicativo blockchain é que ele não exige que os eleitores confiem em ninguém, pois é um sistema descentralizado; entretanto, a Voatz não estende isso ao público. Voatz usa um blockchain Hyperledger como registro de auditoria. Esta não é uma tecnologia blockchain de ponta em uso, pois isso pode ser feito facilmente por um banco de dados com um log de auditoria.
O relatório de auditoria constatou que o sistema Voatz não oferece nenhum alívio para desanonimizar os eleitores com base no período em que seu voto foi emitido no aplicativo. Voatz afirma que existe uma “mixnet” que coloca as informações no blockchain depois de anonimizadas.
Riscos de segurança de aplicativos eleitorais nos EUA: descobertas do MIT confirmadas
Instituto de Tecnologia de Massachusetts – Pesquisadores do MIT publicaram um relatório em 13 de fevereiro alegando que o blockchain da Voatz tinha grandes problemas de segurança, aos quais a Voatz respondeu mais tarde no mesmo dia e refutou as afirmações do MIT.
Acontece que a resposta da Voatz foi escrita três dias depois que a trilha da Bits verificou as vulnerabilidades de segurança onipresentes para o MIT, depois de receber um resumo dos problemas da Segurança Interna dos Estados Unidos.
Os projetos anteriores de riscos de segurança de aplicativos eleitorais nos EUA não foram concluídos?
Este foi o primeiro relatório que realizou uma investigação de caixa branca que levou a estas conclusões; antes disso, muitos relatórios foram realizados, mas não eram suficientemente abrangentes. Trail of Bits resumiu os relatórios anteriores da seguinte forma.
Uma revisão de segurança foi realizada em 2019 pela NCC, mas por ser privada, não houve contratação de especialistas técnicos em segurança.
Em outubro de 2018, a ShiftState conduziu uma ampla revisão de higiene da arquitetura blockchain, do fluxo de dados e das decisões de alívio de ameaças; entretanto, esta revisão não contou para a busca de bugs no próprio aplicativo.
A última revisão de segurança foi realizada em outubro de 2019, que apenas avaliou os recursos da nuvem e se o aplicativo era hackeável ou não. Os relatórios anteriores não incluíam avaliações de problemas de segurança de servidor e back-end, o que tornava os relatórios anteriores incompreensíveis.
Por um lado, diferentes estados dos EUA estão considerando a votação baseada em blockchain. Por outro lado, o relatório Trail of Bits afirma que estes relatórios eram meramente documentos técnicos, e a negligência destas lacunas de avaliação levanta a questão de saber se os funcionários eleitos estão suficientemente qualificados para ler estes documentos.
