Bir milyondan fazla Rus vatandaşı için kişisel verilerin sızdırıldığı bildirildi. Verilerin son zamanlarda anayasa değişikliklerine ilişkin son blockchain tabanlı e-oylamaya katılan bazı vatandaşlara ait olduğu iddia ediliyor.
Arşivi herkes indirebilecek
Rus medya kuruluşu Meduza tarafından yayınlanan bir araştırmaya göre söz konusu verileri içeren “degvoter.zip” başlıklı bir arşiv 1 Temmuzda bir hükümet web sitesi aracılığıyla en az birkaç saat boyunca kamuya açık idi. Dosya o zamandan beri çeşitli Telegram grupları ve kanalları aracılığıyla dağıtıldı.
Arşiv şifre korumalı olmasına rağmen ücretsiz bir şifre kırma aracı ile kolayca hacklenme riskiyle karşı karşıya bulunuyor.
Arşivle birlikte “db.sqlite” adında bir şifre korumalı veritabanı da bulunuyor. Bu veritabanının Rusyada sakinlerin çevrimiçi oy kullanabileceği iki şehir olan Moskova ve Nizhniy Novgoroddan bir milyondan fazla seçmen için pasaport numarası içerdiği iddia ediliyor. Çevrimiçi oylamaya izin veren sistem Bitfury tarafından geliştirilen Exonum blockchain platformuna dayanıyor.
Bu veriler SHA256 algoritması ile şifrelenmesine rağmen gazetecilerin özgür yazılım kullanarak “çok kolay” bir şekilde çözebildikleri iddia edildi. Bu onları şu sonuca götürdü:
“Degvoter.zipin zayıf güvenliği ve kullanılabilirliği göz önüne alındığında arşivi Rus hükümeti aslında Moskova ve Nizhny Novgorodun tüm e-bileşenlerinin kişisel verilerini kamusal alana koydu.”
Gazetecilerin sızan verileri pasaportun geçerliliğini kontrol etmek için İçişleri Bakanlığının resmi hizmetine çapraz referansta bulunduğu bildirildi. E-oylama için kayıtlı dört binin üzerinde pasaportun geçersiz olduğu tespit edildi.
Dijital Gelişim İletişim ve Kitle İletişim Bakanlığı şifreler güvenli veri kanalları aracılığıyla ve sadece yetkili personele dağıtıldığı için “herhangi bir sızıntı olasılığını” dışladıklarını söyleyerek soruşturmayı yorumladı.
Ajans ayrıca pasaport numaralarının kodlandığını ve rastgele elde edilen bir karakter dizisinden veya hash toplamlardan oluştuğunu vurguladı :
“Hash toplamları kişisel veri değildir. Rastgele karakter kümelerinin yayınlanması vatandaşlara zarar veremez.”