Компания Voatz из Массачусетса, занимающаяся разработкой блокчейн-приложений для проведения выборов в США, недавно столкнулась с угрозами безопасности и подверглась критике со всех сторон.
Компания Voatz продвигает мобильное приложение для голосования на основе блокчейна, которое, как выяснилось в ходе расследования, имеет множество уязвимостей в системе безопасности и, следовательно, вызвало много критики со стороны общественности, причем эти уязвимости особенно серьезны в отношении защиты данных.
Важность контроля над этими вопросами безопасности в США возрастает по мере приближения недели выборов. аудите безопасности приложения для выборов в США включает 122 страницы обзора безопасности, а также еще 78 страниц, посвященных вопросам моделирования угроз.
Риски безопасности для приложений, используемых на выборах в США: Voatz не нужен блокчейн?
Блокчейн, используемый Voatz, не распространяется на мобильное приложение, что, в свою очередь, создает риски для безопасности приложений, используемых на выборах в США.
Привлекательность этого блокчейн-приложения заключается в том, что оно не требует от избирателей доверия к кому-либо, поскольку это децентрализованная система; однако Voatz не распространяет это на широкую публику. trac использует блокчейн Hyperledger в качестве журнала аудита. Это не передовая технология блокчейна, поскольку это легко можно сделать с помощью базы данных с журналом аудита.
В аудиторском отчете установлено, что система Voatz не предусматривает никаких механизмов деанонимизации избирателей на основе периода, когда они голосовали в приложении. Voatz утверждает, что существует «микснет», который переносит информацию в блокчейн после ее анонимизации.
Риски безопасности приложений для выборов в США: выводы Массачусетского технологического института подтверждены
Массачусетского технологического института (MIT) опубликовали отчет, в котором утверждалось, что блокчейн Voatz имеет серьезные проблемы с безопасностью, на что Voatz ответила позже в тот же день и опровергла заявления MIT.
Как выяснилось, ответ от Voatz был написан через три дня после того, как Bits подтвердил наличие повсеместно распространенных уязвимостей в системе безопасности для MIT, получив от Министерства внутренней безопасности США сводку проблем.
Предыдущие проекты по оценке рисков безопасности приложений для выборов в США так и не были завершены?
Это был первый отчет, в котором было проведено расследование методом «белого ящика», приведшее к этим выводам; до этого было проведено множество отчетов, но они не были достаточно полными. Trail of Bits обобщил предыдущие отчеты следующим образом.
В 2019 году NCC провела проверку безопасности , но, поскольку это частная организация, она не привлекала технических специалистов по безопасности.
В октябре 2018 года компания ShiftState провела масштабную проверку архитектуры блокчейна, потока данных и решений по снижению угроз; однако эта проверка не учитывалась при поиске ошибок в самом приложении.
Последняя проверка безопасности проводилась в октябре 2019 года и касалась лишь оценки облачных ресурсов и возможности взлома приложения. Предыдущие отчеты не включали оценку проблем безопасности серверов и бэкэнда, что делало их неполными.
С одной стороны, различные штаты США рассматривают возможность внедрения голосования на основе блокчейна. С другой стороны, в отчете Trail of Bits говорится, что эти отчеты были всего лишь техническими документами, и игнорирование этих пробелов в оценке поднимает вопрос о том, достаточно ли квалифицированы выборные должностные лица, чтобы читать эти документы.
