Около 1 млн. жителей Москвы, Московской и Нижегородской областей приняли участие в голосовании по поправкам к Конституции через интернет. Специалисты обнаружили, что паспортные данные голосовавших оказались в открытом доступе в интернете.
По результатам исследования было выяснено, что некоторые данные повторяются, а некоторые люди смогли проголосовать даже несмотря на то, что по информации МВД их паспортные данные являются недействительными.
Московская городская избирательная комиссия председателям московских избирательных комиссий 30 июня отправляла инструкцию, в соответствии с которой нужно было проверять голосовавших по интернету по поправкам к Конституции. Инструкция не содержала грифов конфиденциальности, секретности.
Проверка голосовавших проводилась по номеру паспорта. Она требовалась, чтобы 1 июля в голосовании могли принять участие те лица, которые записались ранее на онлайн-голосование, но не воспользовались этой возможностью. Для запуска программы проверки ее надо было скачать – в отправленной инструкции содержалась ссылка на запароленный архив degvoter.zip и пароль для его открытия. Архив скачивался с одного из государственных порталов. Причем скачать его могли вообще все пользователи – 01.07.20 г. он был в открытом доступе примерно с 9.00 до 12.00 (МСК).
Программа проверки голосовавших онлайн представляла собой исполняемый файл degvoter.exe. После его запуска необходимо было указать номер паспорта, в результате чего программа сообщала, голосовал ли этот человек ранее или нет.
Паспортные данные голосовавших онлайн хранились в базе данных db.sqlite, которая никак не была защищена. Серия и номер паспорта были в БД закодированы в виде цифробуквенной последовательности. Как выяснили специалисты, расшифровка паспортных данных голосовавших вообще не составляла труда.
В результате эксперты смогли получить полный доступ почти к 1,2 млн. записей с паспортными данными. Именно такое количество человек записалось на онлайн-голосование. С учетом фантастически низкого обеспеченного уровня защиты и наличия свободного доступа к архиву можно сказать о том, что власти просто выложили в интернет персональные данные всех людей из Москвы и Нижегородской области, которые записывались на онлайн-голосование.
По результатам исследования также было обнаружено, что некоторые паспортные данные в базе данных встречаются дважды (поэтому и голосовать по ним можно было дважды), а некоторые и вовсе считаются недействительными в соответствии со специальным сервисом МВД (по проверке паспортных данных), который постоянно обновляется.