A empresa Voatz, sediada em Massachusetts, cujo aplicativo baseado em blockchain para as eleições americanas foi recentemente exposto, vem gerando críticas de todos os lados.
A Voatz vem promovendo um aplicativo de votação móvel baseado em blockchain que foi investigado por apresentar diversas falhas de segurança e, consequentemente, atraiu muitas críticas públicas. Essas falhas de segurança são particularmente graves no que diz respeito à segurança de dados.
A importância de controlar essas questões de segurança torna-se ainda maior com a proximidade da semana das eleições nos EUA. O relatório de auditoria sobre a segurança do aplicativo eleitoral americano inclui uma análise de segurança de 122 páginas, com mais 78 páginas destacando considerações sobre modelagem de ameaças.
Riscos de segurança do aplicativo eleitoral dos EUA: Voatz não precisa de blockchain?
A blockchain usada pela Voatz não se estende ao cliente móvel, o que, por sua vez, cria riscos de segurança para o aplicativo eleitoral dos EUA.
O trac deste aplicativo blockchain é que ele não exige que os eleitores confiem em ninguém, pois é um sistema descentralizado; no entanto, o Voatz não estende isso ao público. O Voatz usa um blockchain Hyperledger como registro de auditoria. Essa não é uma tecnologia blockchain de ponta, já que isso pode ser facilmente feito por um banco de dados com um registro de auditoria.
O relatório de auditoria constatou que o sistema Voatz não possui nenhum mecanismo para desanonimizar os eleitores com base no período em que o voto foi registrado no aplicativo. A Voatz alega que existe uma "mixnet" que registra as informações no blockchain após a anonimização.
Riscos de segurança em aplicativos eleitorais dos EUA: descobertas do MIT confirmadas
O Instituto de Tecnologia de Massachusetts (MIT) publicou um relatório em 13 de fevereiro alegando que o blockchain da Voatz apresentava graves problemas de segurança, ao que a Voatz respondeu no mesmo dia, refutando as alegações do MIT.
Acontece que a resposta da Voatz foi escrita três dias depois de a Bits ter verificado as vulnerabilidades de segurança onipresentes no MIT, após ter recebido um resumo dos problemas do Departamento de Segurança Interna dos Estados Unidos.
Projetos anteriores sobre riscos de segurança em aplicativos eleitorais dos EUA não foram concluídos?
Este foi o primeiro relatório que realizou uma investigação de caixa branca que levou a essas conclusões; antes disso, muitos relatórios foram conduzidos, mas não foram suficientemente abrangentes. O Trail of Bits resumiu os relatórios anteriores da seguinte forma.
Uma revisão de segurança foi realizada pela NCC em 2019 , mas, por se tratar de um projeto privado, não houve a contratação de especialistas técnicos em segurança.
Em outubro de 2018, a ShiftState realizou uma revisão abrangente da arquitetura blockchain, do fluxo de dados e das decisões de mitigação de ameaças; no entanto, essa revisão não incluiu a busca por bugs no próprio aplicativo.
A última revisão de segurança foi realizada em outubro de 2019 e avaliou apenas os recursos em nuvem e a vulnerabilidade do aplicativo a ataques. Os relatórios anteriores não incluíram avaliações de problemas de segurança de servidor e de infraestrutura, o que os tornou incompletos.
Por um lado, diferentes estados dos EUA estão considerando a votação baseada em blockchain. Por outro lado, o relatório da Trail of Bits afirma que esses relatórios eram meramente documentos técnicos, e a negligência dessas lacunas de avaliação levanta a questão de se os representantes eleitos são qualificados o suficiente para ler esses documentos.
