fbpx

Dane rosyjskich wyborców na sprzedaż

Marek Lesiuk
Cyberprzestępczość

Personalia osób głosujących elektronicznie w referendum konstytucyjnym w Rosji, które miało miejsce miesiąc temu, zostały wystawione na sprzedaż w internecie. Pochodzą one z systemu elektronicznego, który już w toku głosowania odnotował pewne „problemy”, czynniki oficjalne zapewniały jednak, że wszystko jest w porządku, a bezpieczeństwo nie zostało naruszone.

Zasoby te zostały zaoferowane na sprzedaż w typowym dla takich ofert miejscu, tj. na rosyjskich forach „tematyczych” w Darknecie. Zgromadzone – w ten czy inny sposób – w ilości 1,1 mln rekordów, wyceniono na 1,5 dolara od wpisu. No chyba że potencjalny nabywca życzyłby sobie zamówić hurtowy pakiet, w promocyjnej cenie 1 dol. za rekord. Okazja.

Dane – niezbyt rozbudowane, jednak wciąż mogące być wykorzystane do perfidnych celów – składają się przede wszystkim z numerów paszportu, pełniącego w Rosji także funkcję dowodu osobistego. Jak przyznają sami oferujący, same w sobie numery paszportów są niezbyt użyteczne, jednak ich zaletą jest świeżość i aktualność.

Pomimo bowiem nie zawierania informacji w rodzaju odpowiadających numerom imion i nazwisk (o bardziej wrażliwych danych w rodzaju numerów kart płatniczych nie wspominając), te można uzupełnić na podstawie innych baz danych, nawet tych mniej aktualnych.

Tę logikę docenić mieli podobno nabywcy na tego rodzaju informacyjny towar – zdaniem gazety Kommiersant, sprzedawca, kimkolwiek ów jest, znalazł już nabywców na ponad 30 tys. rekordów.

Towarzysze, chcieliśmy dobrze…

Jeśli chodzi o źródło pochodzenia tych danych, to najprostszym i najoczywistszym wytłumaczeniem jest włamanie hakerskie do systemu obsługującego wybory. W związku bowiem z epidemią wirusa Wuhan, władze umożliwiły w niektórych rejonach kraju głosowanie elektroniczne.

Elektroniczny system wyborczy miał być przy tym całkowicie bezpieczny i chroniący dane. Miało to być zapewnione przez zastosowanie technologii blockchainu – w tym przypadku Exonum, open-sourcowego oprogramowania firmy Bitfury. Dodatkowo, do prac nad skonstruowaniem systemu zaangażowano sławny rosyjski podmiot, Kaspersky Lab, który miał wspomóc urzędników.

…a wyszło jak zwykle

Już podczas głosowania doszło do „incydentów” – odnotowano próby nieautoryzowanego dostępu do modułów zliczających głosy. Uzyskanie takowego dostępu nie było zresztą chyba aż takie trudne, skoro zabezpieczenia systemu nie wystarczyły nawet do tego, by powstrzymać przed tym wścibskich dziennikarzy, pragnących sprawdzić wiarygodność zapewnień oficjeli odpowiedzialnych za głosowanie.

W połączeniu z daleko posuniętą nonszalancją w gromadzeniu i przechowywaniu danych związanych z głosami oddanymi tradycyjnie (a zwłaszcza wobec ochrony poufności tychże), liczba aktorów, którzy mogli wykraść wystawioną na sprzedaż listę numerów paszportów, jest całkiem duża.

Biorąc pod uwagę niewielką, jak na skalę działalności profesjonalnych grup hakerskich, perspektywę zysku – nawet w maksymalistycznym wariancie sprzedaży 1,1 mln rekordów po 1,5 dol od sztuki, przedsięwzięcie przyniosłoby jedynie 1,65 mln dolarów – wcale niekoniecznie musiała za tym stać zorganizowana przestępczość cybernetyczna.

Równie możliwe, że za włamaniem tym stali hakerzy-amatorzy (skoro mogli dziennikarze, to najpewniej mogli także np. studenci informatyki…). Jest także dalece niewykluczone – a wręcz całkiem prawdopodobne, uwzględniając poziom korupcji w Rosji – że przedsięwzięcie odbyło się nie bez udziału samych urzędników, którzy mieli dbać o organizację głosowania i zabezpieczenie danych.

Obywatelski „obowiązek”

Referendum w miało w Rosji miejsce od 25 czerwca do 1 lipca, i dotyczyło szeregu poprawek do konstytucji federalnej, z których najważniejszą (i w istocie jedyną, dla którego całe głosowanie miało miejsce) była ta znosząca krępujący Władimira Putina limit kadencji prezydenckich.

By ująć oględnie, nie cieszyło się ono szczególną popularnością wśród Rosjan – co biorąc pod uwagę zupełną fasadowość głosowania, nie dziwi. W istocie, jego wynik był znany jeszcze przed rozpoczęciem głosowania i nie miał wiele wspólnego z faktycznymi wyborami obywateli. Faktycznym zaś celem władz było uzyskanie w referendum frekwencji, która legitymizowałaby zmiany.

W związku z tym uciekały się one do szeregu kroków mających zapewnić tę ostatnią – nachalnie zachęcając do głosowania, a niejednokrotnie też wymuszając wzięcie udziału w procesie „wyborczym” w stosunku do osób, którym ciężko byłoby odmówić (np. urzędników państwowych czy pracowników koncernów należących do prokremlowskich oligarchów).

Obywatele zaś wprost przeciwnie, nie przejawiali wielkiej ochoty do poświęcania swego czasu na udział w procesie, względem którego nikt nie miał szczególnych złudzeń co do jego uczciwości. Bojkot głosowania w kręgach opozycyjnych był też postrzegany jako swego rodzaju wyrażenie sprzeciwu wobec zmian, na które i tak nikt poza grupą rządzącą nie miał wpływu.

Biorąc pod uwagę wyciek danych, nie biorący udziału w referendum mogli dodatkowo ustrzec się przed ewentualnymi niespodziankami w przyszłości.