В открытом доступе оказалась база, в которой содержатся паспортные данные людей, принявших участие в онлайн-голосовании по вопросу внесения поправок в Конституцию. База зашифрована, но легко расшифровывается. Утечка затронула более миллиона паспортов жителей Москвы, Московской области, Нижнего Новгорода и Нижегородской области.
В конце июня на одном из государственных сайтов был выложен запароленный архив degvoter.zip, который мог скачать любой желающий. Пароль к нему был известен председателям УИК, которые с помощью этой базы сверяли голосовавших, пришедших на участки, чтобы убедиться, что они не голосуют повторно (сначала онлайн, затем офлайн). Пароль также можно было подобрать методом брутфорса, используя хэш от архива — на компьютере со старым процессором Intel Core i3-4160 на это ушло два дня.
В архиве содержится программа degvoter.exe, в которой можно вручную сверять паспортные данные пришедших голосовать с базой паспортов людей, уже проголосовавших онлайн. Также там есть файл db.sqlite с зашифрованными паспортными данными всех участников онлайн-голосования. С помощью программы John the Ripper можно легко расшифровать эти данные и получить все занесённые в базу номера паспортов.
В итоге из базы были извлечены 1 190 726 записей. Примечательно, что некоторые паспорта при проверке на сайте Главного управления по вопросам миграции МВД России оказались недействительными. Большая часть владельцев недействительных паспортов приняла участие в интернет-голосовании.
Кроме того, некоторым паспортам из базы присвоены двойные записи, из-за чего было невозможно достоверно установить, проголосовали их обладатели онлайн или нет. В теории избиратель с таким паспортом мог прийти на избирательный участок и получить бумажный бюллетень, хотя до этого он проголосовал на сайте.