Профессор Мичиганского университета Джей Хелдерман и двое его студентов смогли сломать государственную систему для онлайн-голосования на выборах в США “Digital Vote by Mail”, разработка которой обошлась американским властям в $ 300 тыс. Теперь профессору придётся заниматься другой деятельностью, кто знает, может ему подойдёт, или продажа квартир.
Система Digital Vote by Mail работает следующим образом: избиратели, находящиеся за пределами США, имеют возможность проголосовать онлайн. Для этого им нужно скачать PDF-файл избирательного бюллетеня, распечатать и отправить его по почте, либо заполнить в электронной форме и выгрузить снова на сервер проекта. Именно последняя деталь заинтересовала Хелдермана, и он решил протестировать систему на предмет безопасности и надежности вместе со своими студентами.
С первого взгляда, Digital Vote by Mail достаточно защищенной: избиратели получают 16-значный пин-код заполненные бюллетени хранятся на серверах в зашифрованном виде. Команда профессора обнаружила, что система написана на стандартном языке программирования – Ruby on Rails, и использует стандартные средства баз данных MySQL и сервера Apache. Поэтому это позволило им найти несколько “дыр” в системе безопасности.
Профессор со студентами сделали так называемую инъекцию в программное обеспечение Digital Vote by Mail, и начали распоряжаться информацией по своему усмотрению – собрали базу данных логинов и паролей, подменили заполненные бюллетени, а также поместили на сайт гимн Мичиганского университета, который воспроизводился для всех, кто заполнял избирательные бюллетени.
Через два дня уязвимость была замечена администраторами, и голосование было решено прекратить. Теперь решено не запускать Digital Vote by Mail в публичный доступ как минимум на год.
По словам Хелдермана, пока не изобретено никакой системы онлайн-голосование, которое бы не содержало “дыр” в безопасности, а сделанный им эксперимент это успешно доказывает.
