Daniilak — Канал

Наблюдаю за голосованием в Чувашии, правила которого меняются прямо по ходу процесса

С 12 по 26 сентября на сайте https://online.cap.ru проводится голосование по проектам программы инициативного бюджетирования «НИМЕ — народный бюджет». Я всегда проверяю новые сервисы, с которыми сталкиваюсь, на базовые уязвимости — хотя бы на уровне школьника-хакера. Надоело, когда очередной «Вася» получает доступ к моим личным данным

К сожалению, уже в первые часы работы системы обнаружилась серьезная проблема: с помощью простого обновления страницы (кнопка F5) можно было накрутить несколько сотен голосов. После того как информация об этой уязвимости стала публичной, организаторы откатили накрученные голоса и добавили защиту от повторного голосования. Радует, что оперативно закрыли данную уязвимость

Далее мне сообщили заинтересованные в победе своих проектов люди, что они смогли проголосовать дважды: один раз через Госуслуги, а второй — через Яндекс ID. Таким образом, один человек мог отдать по 2 голоса в каждом из 5 городов, увеличив свое общее влияние в 10 голосов. Лично для меня это показалось идеей поддержать проекты, которые из-за малочисленности заинтересантов с большей вероятностью проиграют.

На данный момент разработчики отключили вход через Яндекс ID, но голоса, оставленные через эту систему, остались в силе. Возникает резонный вопрос: как такое возможно?

Отдельно стоит напомнить, что за несколько дней до начала голосования на сайте в свободном доступе несколько месяцев были опубликованы списки людей с критически важной персональной информацией: ФИО, подписи и адреса проживания.

Эта ситуация неприятно напомнила историю от сентября 2021 года, когда interfax.ru выложил тестовые данные для своей внутренней системы в публичный доступ. Номера документов мои и других граждан висели в кэше поисковых систем несколько месяцев. Неприятно? Еще как

👍8❤3👀1

www.tgoop.com/daniilak/1466

1.6K viewsedited  Sep 17 at 11:57

Наблюдаю за голосованием в Чувашии, правила которого меняются прямо по ходу процесса

С 12 по 26 сентября на сайте https://online.cap.ru проводится голосование по проектам программы инициативного бюджетирования «НИМЕ — народный бюджет». Я всегда проверяю новые сервисы, с которыми сталкиваюсь, на базовые уязвимости — хотя бы на уровне школьника-хакера. Надоело, когда очередной «Вася» получает доступ к моим личным данным

К сожалению, уже в первые часы работы системы обнаружилась серьезная проблема: с помощью простого обновления страницы (кнопка F5) можно было накрутить несколько сотен голосов. После того как информация об этой уязвимости стала публичной, организаторы откатили накрученные голоса и добавили защиту от повторного голосования. Радует, что оперативно закрыли данную уязвимость

Далее мне сообщили заинтересованные в победе своих проектов люди, что они смогли проголосовать дважды: один раз через Госуслуги, а второй — через Яндекс ID. Таким образом, один человек мог отдать по 2 голоса в каждом из 5 городов, увеличив свое общее влияние в 10 голосов. Лично для меня это показалось идеей поддержать проекты, которые из-за малочисленности заинтересантов с большей вероятностью проиграют.

На данный момент разработчики отключили вход через Яндекс ID, но голоса, оставленные через эту систему, остались в силе. Возникает резонный вопрос: как такое возможно?

Отдельно стоит напомнить, что за несколько дней до начала голосования на сайте в свободном доступе несколько месяцев были опубликованы списки людей с критически важной персональной информацией: ФИО, подписи и адреса проживания.

Эта ситуация неприятно напомнила историю от сентября 2021 года, когда interfax.ru выложил тестовые данные для своей внутренней системы в публичный доступ. Номера документов мои и других граждан висели в кэше поисковых систем несколько месяцев. Неприятно? Еще как

BY Daniilak — Канал