Конституция

«Медуза» обнаружила в открытом доступе базу, в которой содержатся паспортные данные людей, принявших участие в онлайн-голосовании по вопросу внесения поправок в Конституцию. База зашифрована, но легко расшифровывается. Утечка затронула более миллиона паспортов жителей Москвы, Московской области, Нижнего Новгорода и Нижегородской области.

В конце июня на одном из государственных сайтов был выложен запароленный архив degvoter.zip, который мог скачать любой желающий. Пароль к нему был известен председателям УИК, которые с помощью этой базы сверяли голосовавших, пришедших на участки, чтобы убедиться, что они не голосуют повторно (сначала онлайн, затем офлайн). Пароль также можно было подобрать методом брутфорса, используя хэш от архива — на компьютере со старым процессором Intel Core i3-4160 на это ушло два дня.

В архиве содержится программа degvoter.exe, в которой можно вручную сверять паспортные данные пришедших голосовать с базой паспортов людей, уже проголосовавших онлайн. Также там есть файл db.sqlite с зашифрованными паспортными данными всех участников онлайн-голосования. С помощью программы John the Ripper можно легко расшифровать эти данные и получить все занесённые в базу номера паспортов.



В итоге из базы были извлечены 1 190 726 записей. Примечательно, что некоторые паспорта при проверке на сайте Главного управления по вопросам миграции МВД России оказались недействительными. «Медуза» выяснила, что большая часть владельцев недействительных паспортов приняла участие в интернет-голосовании.

Кроме того, некоторым паспортам из базы присвоены двойные записи, из-за чего было невозможно достоверно установить, проголосовали их обладатели онлайн или нет. В теории избиратель с таким паспортом мог прийти на избирательный участок и получить бумажный бюллетень, хотя до этого он проголосовал на сайте.





iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru