Журналисты издания «Медуза» заявили, что паспортные данные интернет-избирателей, участвовавших в электронном голосовании о внесении поправок в Конституцию РФ, лежали практически в открытом доступе. Также  журналисты обнаружили в базе недействительные паспорта и избирателей, записанных в системе дважды, которые все равно смогли проголосовать.

30 июня 2020 года собственный источник издания передал журналистам инструкцию по проверке интернет-избирателей на голосовании по изменениям в Конституции РФ. Московская городская избирательная комиссия (МГИК) накануне разослала ее председателям столичных территориальных избирательных комиссий. Документ не содержал никаких грифов секретности и конфиденциальности.

Так, с помощью специальной программы, специальных SMS-сообщений или звонка оператору колл-центра можно было выяснить, записывался ли конкретный гражданин в интернет-избиратели и проголосовал ли он в итоге дистанционно. Проверить избирателя можно было по номеру его паспорта. Это было необходимо для того, чтобы люди не голосовали дважды (один раз удаленно и второй раз на избирательном участке).

Упомянутую специальную программу нужно было скачать с одного из государственных сайтов и она представляла собой запароленный архив degvoter.zip. Издание отмечает, что доступ к этому архиву был свободным: 1 июля как минимум с 9 до 12 часов по московскому времени его мог скачать любой желающий.

Хотя у журналистов пароль от архива уже был, ради эксперимента они также попытались взломать его при помощи утилиты John the Ripper. В итоге на процессоре Intel Core i3-4160 пароль от degvoter.zip был подобран за пару дней.

Программа для проверки интернет-избирателей являла собой исполняемый файла degvoter.exe. Работникам избирательного участка предлагалось ввести серию и номер паспорта гражданина России в программу, после чего та сообщала, был ли предоставлен человеку с этим паспортом «доступ к бюллетеню на дистанционном электронном голосовании» или нет.

При этом сведения о паспортах интернет-избирателей с пометками о голосовании поставлялись вместе с программой и хранились локально, в виде хешей в файле db.sqlite, не защищенном паролем. По сути, degvoter.exe вычисляла хеш-сумму от вводимых пользователем серии и номера паспорта, а потом искала по базе db.sqlite эту хеш-сумму и соответствующую ей отметку о голосовании.

Журналисты отмечают, что без труда преобразовали эти хеши в человекопонятные данные, получив 1 190 726 записей с сериями и номерами паспортов всех интернет-избирателей Москвы и Нижегородской области (электронное голосование по поправкам было доступно только жителям Москвы и Нижнего Новгорода). О том, как это было сделано -- на иллюстрации ниже.

Также «Медуза» пишет, что обнаружила 97 паспортов, которые были записаны в базе данных интернет-избирателей дважды. То есть общее число реальных интернет-избирателей (проголосовавших и только зарегистрировавшихся), возможно, было меньше официального числа почти на сто человек.

Кроме того, издание воспользовалось сервисом для проверки российских паспортов по списку паспортов, признанных недействительными, который доступен на сайте Главного управления по вопросам миграции МВД России. Оказалось, что от 2347 до 4720 паспортов из файла db.sqlite считаются недействительными (разные цифры были получены в ходе сверки данных с разными версиями базы МВД — от 22 мая 2020 года и 3 июля 2020 года). Причем большая часть владельцев этих недействительных паспортов приняла участие в интернет-голосовании: 2060 из 2347 (22 мая) или 4233 из 4720 (3 июля).

Начальник управления по совершенствованию и развитию смарт-проектов правительства Москвы Артем Костырко пишет, что «Медуза» немного лукавит, и данные все же не были в открытом доступе:

«Медуза фактически сама же и признается, что получила все от сотрудника избирательной системы – только у членов ТИКов и УИКов был доступ к этим установочным файлам, то есть ни в каком открытом доступе никакие базы интернет-избирателей не появлялись».

Также, по словам Кострыко, база недействительных паспортов с сайта МВД – это лишь сервис и интерфейс, который не является истиной в последней инстанции. «Истиной в последней инстанции является система межведомственного электронного взаимодействия – сокращенно СМЭВ. Именно с ней сверяли данные паспортов в ЦИКе и в Минкомсвязи», — пишет он.

Руководитель компании DeviceLock Ашот Оганесян в своем Telegram-канале­  и вовсе называет происходящее «пиар-утечкой» и отмечает:

«Серия/номер паспорта без каких-либо других данных (ФИО, год рождения, адрес, телефон и т.п.) не представляет из себя ничего, кроме простого набора цифр, сформированного по известной “формуле”.
Никакого смысла в такой базе отдельно нет.
Единственное применение этим данным, это обогащение других баз, содержащих персональные данные (включая паспортные), признаком «регистрировался для участия в электронном голосовании».

Также Оганесян отмечает, что база уже появилась в действительно открытом доступе – ее уже публикуют на форумах. От себя заметим, что базу можно без труда найти и во многих Telegram-каналах.

5 комментариев

  1. Аватар

    upagge

    09.07.2020 в 22:13

    И зачем эта копипаста с медузы? Не говоря уже о непровереных фактах. Архив был публично доступен по ссылке на каком-то правительственном сайте.

    • Аватар

      yambuto

      10.07.2020 в 00:00

      Ну и зачем писать комментарии, не дочитав заметку до конца?

    • Аватар

      rim33377

      10.07.2020 в 00:26

      Плюсую. И дочитывание заметки до конца абсолютно ничего не меняет — это тупой копипаст с вонючего грантососного антироссийского издания, в лучших традициях ботофермы. Я уже не раз делал замечания, когда подобное видел в других новостных заметках. пробовал и адекватной последовательной форме, обоснованно и с аргументами, и более агрессивно — без толку. Хотят добавлять ложку говна в материалы — это их издание.

      • Аватар

        Dmitriy Schekin

        13.07.2020 в 16:52

        Ну вообщем пытались переубедить секту «свидетелей Иеговы» от «Медузы». Результат очевиден был как я вижу. Чудно провели время общаясь со стеной.

  2. Аватар

    vertikal

    15.07.2020 в 12:23

    теперь любой работодатель может проверить сотрудника на выполнение «просьбы» зарегистрироваться на голосовании?

Оставить мнение