Професор Мічиганського університету Джей Хелдерман та двоє його студентів змогли зламати державну систему для онлайн-голосування на виборах США “Digital Vote by Mail”, розробка якої обійшлася американській владі у $300 тис.
Система Digital Vote by Mail працює наступним чином: виборці, які знаходяться за межами США, мають можливість проголосувати онлайн. Для цього їм треба завантажити PDF-файл виборчого бюлетеню, роздрукувати та надіслати його поштою, або заповнити в електронній формі і вивантажити знову на сервер проекту. Саме остання деталь зацікавила Хелдермана, і він вирішив протестувати систему на предмет безпеки та надійності разом зі своїми студентами.
З першого погляду, Digital Vote by Mail є досить захищеною: виборці отримують 16-значний пін-код, а заповнені бюлетені зберігаються на серверах у зашифрованому вигляді. Команда професора виявила, що система написана на стандартній мові програмування – Ruby on Rails, та використовує стандартні засоби баз даних MySQL та серверу Apache. Тому це дозволило їм знайти кілька “дірок” в системі безпеки.
Професор зі студентами зробили так звану ін”єкцію в програмне забезпечення Digital Vote by Mail, і почали розпоряджатися інформацією на власний розсуд – зібрали базу даних логінів та паролів, підмінили заповнені бюлетені, а також помістили на сайт гімн Мічиганського університету, який відтворювався для всіх, хто заповнював виборчі бюлетені.
Через два дні вразливість була помічена адміністраторами, і голосування було вирішено припинити. Тепер вирішено не запускати Digital Vote by Mail в публічний доступ як мінімум на рік.
За словами Хелдермана, поки що не винайдено жодної системи онлайн-голосування, яка б не містила “дірок” в безпеці, а зроблений ним експеримент це успішно доказує.
