長期以來,「區塊鏈投票」一直是個爭議不斷的話題。不過,俄羅斯在這方面決心十足,堅持將區塊鏈技術應用在「允許總統普丁連任」的修憲公投上,雖然全國大部分地區都將使用傳統方式進行投票,但莫斯科、下諾夫哥羅德州的居民仍是透過電子方式,在區塊鏈上進行投票的。
隨著俄羅斯修憲公投落幕,結果以壓倒性多數通過取消總統的任期限制,讓已掌權 20 年的普丁有機會延長連任至 2036 年。如今時隔一個月,俄羅斯卻有消息爆出,當初曾參與區塊鏈電子投票的 100 萬名選民個資已遭駭客竊取,並且被放在網路論壇上販售。
俄羅斯自由派媒體《工商日報》(Kommersant)寫道,目前該論壇上估計有超過 110 筆選民個資,並以每筆 1.50 美元的價格出售。匿名賣家坦言,這些遭洩個資僅包含護照號碼,所以本身價值不高。但是,若能與其他數據庫內的遭洩個資結合使用,則能再被用於網絡釣魚攻擊。
在俄羅斯,每個 14 歲以上的公民都擁有護照,而護照的功能就像是通用身份證,作為每個人獨一無二的公民身分的證明工具,因此每本護照都有獨一無二的編碼,據報導,這些號碼已從電子投票系統被洩露並發售。
對此,莫斯科資訊科技部也出面否認上述報導的指控,該部門主要負責俄羅斯區塊鏈投票系統 E-Vote 的開發和設計。
本部門會定期監視網路上有關這類數據的發布,包括暗網。報導中提到的數據庫與電子投票系統內的選民名單無關。莫斯科市政廳服務器上的資料皆受到了適當的保護,並且,自 2020 年初以來就未發生過數據洩露事件。
網絡安全公司 DeviceLock 創始人 Ashot Oganesyan 卻表示,該數據庫是真實的,並且在網路上架已有一段時日。
據悉,俄羅斯這次公投所使用的區塊鏈投票系統是基於 Bitfury 旗下開源企業區塊鏈 Exonum 所開發而成,並由莫斯科資訊科技部在卡巴斯基(Kaspersky Lab)協助下建立,宣稱只要資訊經過節點上的機器加密運算處理後,再被放上區塊鏈,就能提供安全且不可變的數據。
但實際上,早在修憲公投開始之前,就有消息傳出指,俄羅斯的區塊鏈投票系統遭攻擊。截至發稿時,卡巴斯基(Kaspersky Lab)仍拒絕針對區塊鏈投票系統的資安問題發表評論。
然而,俄羅斯媒體《Meduza》此前報導,該系統存在漏洞,投票可能會遭到解密。該報實測後發現,記者竟可透過電子投票的 HTML 代碼取得密鑰來解密選票。《BBC》還曾報導,莫斯科市營企業甚至強迫員工以「和主管共享身分認證」的方式,進行電子投票登記。