На сайте volna.parnasparty.ru работала онлайн-регистрация избирателей, имеющих возможность отдать свой голос за понравившегося кандидата на праймериз ПАРНАС, которые проходят 28–29 мая этого года. Я решил проверить, насколько данное интернет-голосование защищено от накруток и фальсификаций итогов, со стороны как самих кандидатов, так и организаторов праймериз.
Зарегистрироваться может человек, указав не только российский номер телефона. Я легко прохожу регистрацию, введя украинский телефон
Мой вывод – используемые технологические решения не позволяют считать голосование реальным выражением мнения людей и открывают широкие возможности для всевозможных махинаций.
Первый подвох заключается в том, что на сайте отсутствует список избирателей, не указано даже их количество. Иными словами, никто (ни участники, ни зарегистрированные в системе «живые» пользователи) не застрахованы от возможных накруток организаторов, которые просто могут впоследствии назвать любое число проголосовавших, искусственно завысив показатели нужного кандидата. Кроме того, сама система заставляет задуматься о том, есть ли вообще на сайте среди зарегистрированных «живые» пользователи.
Общеизвестно, что в интернете находится ряд ресурсов, которые предоставляют свои услуги в качестве «СМС-приемника» – вы вводите номер посредника на сайте, где требуется активация, и такой «приемник» получает СМС с кодом активации.
Поэтому я решил посмотреть, позаботились ли организаторы праймериз о том, чтобы минимизировать поток ботов на свой сайт.
Для этого я использовал несколько популярных сервисов с бесплатным приемом СМС. Заводим учетную запись на volna.parnasparty.ru (тут все стандартно, обычные поля и избыток чекбоксов). В следующем поле просят номер телефона. Проверяем вышеупомянутые сервисы. Берем первый попавшийся, который бесплатно предоставляет три российских номера. И поочередно пробуем ввести каждый из них в форму регистрации. Выясняется, кто-то уже воспользовался данным сервисом, и все номера уже зарегистрированы в базе избирателей.
Следующий сервис. Номеров тут больше, протестируем их все. Увы, и эти номера уже зарегистрированы в системе. А созданные фейковые избиратели готовы для голосования. Проверим еще один сервис, тоже из топ-10 поисковых систем. Видим тут три РФ-номера, протестируем и их. Итого: три сервиса, 11 номеров и, соответственно, 11 уже существующих учетных записей для голосования.Еще один важный аспект – нет ограничений по географическому принципу, зарегистрироваться может человек (или бот), указав не только российский номер телефона. Я легко прохожу регистрацию, введя украинский телефон.
С недавнего времени для регистрации требуется загрузить «селфи» с раскрытым паспортом гражданина РФ. Это, конечно, личное дело каждого, но отправлять паспортные данные на сайт, который совсем недавно был взломан, несколько странно. Но я проверил, как работает и эта защита. Для этого воспользовался крупнейшим хранилищем подобных документов – в «ВКонтакте» в разделе «Документы» ввел запрос по слову «Паспорт», взял первый попавшийся скан и загрузил на сайт.
Учитывая, что автоматизация действий не является чем-то сверхсложным, мы получаем ситуацию, при которой объективность результатов этого интернет-голосования стремится к нулю.
К дню голосования на праймериз ПАРНАС я долго готовился – регистрировал ботов и подтверждал их по СМС (некоторых удалось зарегистрировать без СМС). Сейчас я объясню, как проводить демократичное голосование при помощи одних рук, браузера TOR и свободного времени.
Для начала откроем сам TOR и перейдем на сайт для голосования. Нас встречает форма авторизации, сообщающая, что если вы хотели сегодня проголосовать, то вам нужно было заранее регистрироваться. Не знаю зачем, правда. Ни по одному моему аккаунту не было никаких запросов подтверждения реальности личности. То есть сайт собирал паспортные данные, фотографии со сканами паспортов, номера телефонов, и просто оставил их себе для каких-то непонятных целей. Не было никакой верификации, абсолютно.
Что ж, берем несколько ботов из моего обширного списка, используем, например, первую из учетных данных – и мы залогинились в качестве легитимного избирателя. Аве, демократия! Да, зовут меня в данном случае, Fidelj Varvarinskij. Обычное имя, для обычного избирателя. Зачем ведь проверять при регистрации на реальность имен и фамилий, верно?
Теперь давайте проявим нашу избирательскую волю. Кандидаты выбраны случайным образом. Голос принят. Супер! Идем дальше по списку. Совершаем привычное действие: выходим из учетной записи, меняем, а, нет, не меняем даже IP-адрес. Я уверен, что люди, которые не могут подключить к скрипту регистрации проверку на имена и фамилии и не используют подтверждение по СМС при голосовании, точно не проверяют голоса по IP.
Я оказался прав. В мире весьма ограниченное количество IPv4 адресов, вдруг избирателей окажется больше, чем доступных адресов? Или всей семьей голосовать придут опять же. Кстати, теперь меня зовут Gortenziya Filjchagin (похоже, я знаю, как выбирали имя для героя Дж. Борна в известном фильме).
Описывать дольше, чем делать. За полторы минуты я вручную дважды проявил ботоводную гражданскую позицию. Переходим к следующему аккаунту, теперь меня зовут Edmund Demshin. Снова случайные люди, снова одни и те же действия. Голосование снова прошло успешно. Вот так за пару-тройку минут я трижды проголосовал за случайных людей, повлияв на их шансы в праймериз.
Аве, интернет-демократия в ПАРНАС!
Источник: Блог Романа Голованова