Erste Kritik am E-Voting-Code der Post
Erste Kritik am E-Voting-Code der Post
(Quelle: admin.ch)
18. Februar 2019 -
Der Code des E-Voring-Systems der Schweizerischen Post wurde frühzeitig auf Gitlab geleaked. Experten in der Entwicklergemeinschaft machen ihrem Unmut auf Social-Media-Kanälen nun Luft.
Mehrere Tage bevor das offene Bug-Bounty-Programm startet, mit dem die Schweizerische Post das E-Voting-System von der breiten Masse auf Fehler untersuchen lassen wollte, wurde der Code auf Gitlab geleaked. Erste Feedbacks dazu lassen wenig Gutes am System – sowohl das Vorgehen und die Bedingungen der Post wie auch der Inhalt des Code-Repositories werden von der Community kritisiert. So etwa von der Sicherheitsforscherin Sarah Jamie Lewis von der Open Privacy Research Community, die den Quellcode begutachtete und auf Twitter schreibt, dass der Code "jedes Warnsignal" aktivieren würde.
Andere User schreiben auch, dass die Vorgaben zum Bug-Bounty-Programm nicht haltbar seien. Ausserdem sei die Dokumentation über das Deployment des Systems mangelhaft, was unter Umständen auch gegen die Transparenzvorgaben der Bundeskanzlei verstossen könnte. Die Zeitung "Republik" berichtet ausserdem, dass die Post auf entsprechende Anfragen nicht reagiert oder damit zusammenhängende Tickets sofort versteckt hätte und hat ein Github-Projekt zur gemeinschaftlichen Verbesserung der Transparenz ins Leben gerufen.
In den vergangenen Monaten wurden in der Schweiz vermehrt Stimmen laut, dass E-Voting zu risikobehaftet sei, um eingeführt zu werden. Ein Gremium aus verschiedenen politischen Lagern lancierte daraufhin eine Initiative zu einem Moratorium gegen E-Voting in der Schweiz ("Swiss IT Magazine" berichtete). (win)
So, I took a look at swiss online voting system code that someone leaked, and having written, deployed and audited large enterprise java code...that thing triggers every flag.
— Sarah Jamie Lewis (@SarahJamieLewis) February 17, 2019
Andere User schreiben auch, dass die Vorgaben zum Bug-Bounty-Programm nicht haltbar seien. Ausserdem sei die Dokumentation über das Deployment des Systems mangelhaft, was unter Umständen auch gegen die Transparenzvorgaben der Bundeskanzlei verstossen könnte. Die Zeitung "Republik" berichtet ausserdem, dass die Post auf entsprechende Anfragen nicht reagiert oder damit zusammenhängende Tickets sofort versteckt hätte und hat ein Github-Projekt zur gemeinschaftlichen Verbesserung der Transparenz ins Leben gerufen.
In den vergangenen Monaten wurden in der Schweiz vermehrt Stimmen laut, dass E-Voting zu risikobehaftet sei, um eingeführt zu werden. Ein Gremium aus verschiedenen politischen Lagern lancierte daraufhin eine Initiative zu einem Moratorium gegen E-Voting in der Schweiz ("Swiss IT Magazine" berichtete). (win)