mObywatel i fałszowanie wyborów prezydenckich przez masowe oddawanie głosów

…niestety będzie możliwe i zdecydowanie tańsze niż podrabianie innych dokumentów potwierdzających tożsamość. Choć niełatwe, więc niekoniecznie należy wpadać w panikę, jeśli chodzi o przyszłość naszej demokracji. Natomiast na pewno należy wpadać w panikę, jeśli chodzi o stan cyfryzacji PKW… Ale zacznijmy od początku.

Możesz sobie pobrać fałszywy mDowód za darmo

Wiemy, że istnieją łatwe do zdobycia i darmowe aplikacje-podróbki mObywatela, które są używane m.in. przez dzieci, aby kupować energetyki. Fałszywe mDowody działają, bo kluczowym problemem w naszym społeczeństwie jest to, że nie tylko kasjerzy, ale wszyscy — także urzędnicy państwowi — nie wiedzą jak poprawnie zweryfikować tożsamość kogoś, kto legitymuje się mDowodem. Nie, nie jest to sprawdzenie tego, czy flaga faluje, a hologram zmienia kolor, kiedy poruszy się smartfonem. Poprawna weryfikacja wymaga poproszenia weryfikowanej osoby o zeskanowanie kodu QR lub przepisanie 6 cyfr widocznych np. na tej stronie. Dopiero wtedy widzimy na naszym urządzeniu, czy osoba przed nami jest tym, a kogo się podaje. Niestety, nawet Ministerstwo Cyfryzacji w swoich instrukcjach i poradnikach nie zawsze wyraźnie zaznacza, że to jest jedyny wiarygodny sposób sprawdzenia autentyczności mDowodu. I dlatego nie tylko dzieci posługują się fałszywkami w najlepsze.

PKW też nie wie jak sprawdzać autentyczność mDowodu?

Oto wytyczne PKW dotyczące wyborów prezydenckich i weryfikacji tożsamości obywatela przy pomocy aplikacji mObywatel:

Na podstawie powyższych zaleceń można odnieść wrażenie, że PKW, podobnie jak kasjerzy w sklepach, też nie rozumie na czym polega kryptograficzna metoda weryfikacji mDowodu. Niby jest coś o skanowaniu kodu, ale:

podczas wyborów używany będzie jeden i ten sam kod QR do weryfikacji wielu różnych osób. Nie wiemy, czy jeden i ten sam na całą Polskę, czy może jeden “per komisja”. Z tego co ustaliliśmy rozmawiając z osobami, które są wtajemniczone w procedury organizacji wyborów, wynika, że w ramach danej komisji na pewno ten kod nie będzie się zmieniał w czasie.

Po zeskanowaniu tego kodu ma się pojawiać specjalna “wizytówka wyborcza obywatela“, która będzie sprawdzana przez członka komisji …okiem. A to umożliwia oszustwa.

Dlaczego takie podejście to problem?

Bo skoro komisja dysponuje kartą papieru, a nie urządzeniem elektronicznym (smartfonem lub komputerem), to autentyczność mDowodu wyborcy musi określić wyłącznie na podstawie TEGO CO POJAWI SIĘ NA SMARTFONIE WYBORCY, a nie tak jak powinna — na swoim urządzeniu.

Ze smartfonem wyborcy jest ten problem, że jest smartfonem wyborcy. On go kontroluje i może pokazać na ekranie to, chce. Więc Zły Człowiek (czyli osoba, która chciałby zagłosować za kogoś) po prostu przerobi i uruchomi jedną z darmowych podróbek aplikacji mObywatel tak, aby po zeskanowaniu kodu prezentowała “wizytówkę wyborczą obywatela”. Oddanie głosu za kogoś wyglądałoby wtedy tak:

1. Zły Człowiek skanuje lewą apką kod QR z kartki członka komisji
2. Fałszywa apka prezentuje podrobioną “wizytówkę wyborczą obywatela” w takiej szacie graficznej, jakiej spodziewa się komisja i z danymi osoby, za którą Zły Człowiek chce oddać głos.
3. Koniec

Jedynym zabezpieczeniem przed powyższym atakiem jest to, że …wygląd szaty graficznej wizytówki wyborczej obywatela ma być znany osobom niewtajemniczonym dopiero w dniu wyborów. A zatem Zły Człowiek musi najpierw zdobyć screenshot wizytówki wyborczej obywatela (swojej lub cudzej), aby móc umieścić ją w fałszywej aplikacji mObywatel przed opisanym wyżej atakiem.

To niestety żadne zabezpieczenie. Wybory trwają od rana do wieczora, a wprowadzenie zmian do aplikacji sprawnemu programiście zajmie zapewne od kilku do kilkunastu minut. Potem fałszywą apkę można w tysiącach rozesłać armii swoich “Złych Człowieków”.

Tak da się zagłosować za kogoś, ale…

Wykazaliśmy powyżej, że procedura weryfikacji tożsamości przez mObywatela jest zła, dziurawa i bardzo łatwa do ominięcia. Niewiele trudniejsza do obejścia od poprzedniej formy weryfikacji wyborców przez członków komisji, czyli sprawdzania okiem, czy na mDowodzie powiewa flaga.

Ale czy dopuszczenie weryfikacji wyborców przez mDowód może realnie zagrozić wynikowi wyborczemu? O ile fałszowanie aplikacji mObywatel jest banalnie proste, zdecydowanie tańsze i o wiele lepiej skalowalne niż podrabianie innych dokumentów, na podstawie których komisja też może potwierdzić czyjąś tożsamość (np. legitymacji szkoły średniej) to aby odnieść jakikolwiek mierzalny efekt w wyborach ogólnopolskich, fałszywych głosów trzeba oddać wiele (setki? tysiące?), a dodatkowo:

• Wiedzieć pod kogo się podszyć
• Wiedzieć do której komisji się udać
• Być tam zanim pojawi się osoba, pod którą się podszywa (a idealnie, to podszyć się pod kogoś, kto nigdy się nie pojawi)

Przyznacie, że jest z tym trochę zachodu. Zły Człowiek dysponujący lewym mDowodem, aby przeprowadzić istotny atak faktycznie wpływający na wybory musi się napracować. Innymi słowy, największym wyzwaniem masowego “głosowania za kogoś” jest, naszym zdaniem, problem logistyczny i osobowy, a nie trudność w podrobieniu dokumentu lub aplikacji.

Co na to Ministerstwo Cyfryzacji i PKW?

W sprawie tej dziurawej procedury weryfikacji tożsamości wyborców przy pomocy mDowodu skontaktowaliśmy się zarówno z Ministerstwem Cyfryzacji jak i z Państwową Komisją Wyborczą. Zadaliśmy tylko dwa pytania:

1. Czy kody QR będą unikatowe dla każdej komisji lub ewentualnie jednorazowe?
2. Czy ekran na smartfonie pokaże tylko proste potwierdzenie danych, czy jakiś sekret umożliwiający weryfikację czy jest to właściwa aplikacja?

Zacznijmy od komentarza PKW, które… odmówiło nam komentarza, twierdząc, w skrócie, że

nic Wam nie powiemy, ze względu na obawy o bezpieczeństwo tej procedury

Dobre, nie? Oni wiedzą, że to co robią nie jest bezpieczne. O ile PKW wybrało drogę “security by obscurity“, która nigdy dobrze się nie kończy, to Ministerstwo Cyfryzacji na nasze pytania odpowiedziało tak:

Na potrzeby wyborów metoda [kryptograficznej weryfikacji przez kod QR — dop. red.] została zmodyfikowana i dostosowana do specyfiki wydarzenia oraz przede wszystkim możliwości technicznych okręgowych komisji wyborczych, które nie dysponują sprzętem pozwalającym na dokonanie weryfikacji kryptograficznej, standardowo zaimplementowanej w aplikacji mObywatel. Każda z komisji wraz z pakietem wyborczym otrzyma kod QR. Po jego zeskanowaniu, na telefonie obywatela chcącego potwierdzić swoją tożsamość za pomocą mDowodu wyświetli się ekran, prezentujący jego dane pochodzące z Rejestru Dowodów Osobistych oraz dodatkowe unikalne elementy, które pozwolą na skuteczną weryfikację autentyczności dokumentu.Ekran ten może zostać wywołany dopiero w dniu wyborów, co dodatkowo ogranicza możliwość jego nielegalnego podrobienia.

I ta odpowiedź pokazuje słabość naszego państwa lub też, jak kto woli, niemoc PKW. Bo brak poprawnej kryptograficznie weryfikacji tożsamości (którą — przypomnijmy — wszyscy mamy pod ręką) wynika wyłącznie z tego, że PKW nie ma kasy na sprzęt dla komisji. Technicznie wszystko jest możliwe, brakuje tylko komputerów lub smartfonów dla komisji. I dlatego bezpieczeństwo całości opierać się będzie na “unikalnych elementach” w postaci aktualnego czasu, czy napisu “I TURA”…

Nie nam oceniać, czy koszt wyposażenia komisji wyborczych w komputery/smartfony jest wyższy czy niższy niż ryzyko płynące ze sfałszowania wyniku wyborów przez posługiwanie się łatwymi do wytworzenia na masową skalę lewymi mDowodami.
Ale jak najbardziej nam oceniać to, czy powinno się w ogóle wdrażać weryfikację mDowodem, jeśli wiadomo, że nie da się jej wdrożyć w sposób wiarygodny i bezpieczny? I odpowiedź brzmi: nie.

To jest farsa.

Przez lata radziliśmy sobie przy urnach bez mObywatela, więc jak PKW nie potrafi w 100% wiarygodnie sprawdzać jego autentyczności, to nie powinien być dopuszczony jako narzędzie do weryfikacji tożsamości obywatela?

źródło niebezpiecznik.pl 14 maja 2025