Valintegritetsexperter identifierar integritetsfel som påverkar alla ICP/ICE Dominion-röstningssystem i 21 stater.

J.Alex Halderman, professor i datavetenskap och teknik vid University of Michigan, säger sig ha identifierat ett kritiskt sekretessfel i valinfrastrukturen som säljs av Dominion Voting Systems i USA.

Halderman, en opartisk analytiker vars arbete har citerats av både vänster- och högerorienterade nyhetskällor, delade webbplatsen DVSorder.org på sina sociala mediekanaler på fredagen.

Vad påverkas och var?

DVSorder är ett sekretessfel som påverkar Dominion Voting Systems (DVS) ImageCast Precinct (ICP) och ImageCast Evolution (ICE) valsedlar, som används i delar av 21 delstater.

Under vissa omständigheter kan bristen göra det möjligt för allmänheten att identifiera andras valsedlar och lära sig hur de röstade.

De stater som kan påverkas är: Kalifornien, Alaska, Minnesota, Arizona, New Mexico, Kansas, Missouri, Illinois, Florida, Georgia, Tennessee, Virginia, New Jersey, New York, Ohio, Michigan, Wisconsin, Iowa, Vermont, Massachusetts och Pennsylvania, liksom Puerto Ricos territorium.

Kan detta "vända rösterna"?

Forskarna förklarar:

Denna sårbarhet är en integritetsbrist och kan inte direkt ändra resultat eller ändra röster.

Ändå är den slutna omröstningen en viktig säkerhetsmekanism, och vissa väljare – särskilt de mest utsatta i samhället – kan möta verkliga eller upplevda hot om tvång om inte integriteten för deras röster skyddas starkt.

Många jurisdiktioner publicerar data från individuella röstade röstsedlar, såsom röstregister (rösterna från varje omröstning) eller röstbilder (skanningar av varje röstsedel).

Dessa uppgifter är vanligtvis tänkt att blandas slumpmässigt, för att skydda väljarnas integritet. DVSorder-sårbarheten gör det möjligt att blanda om röstsedlarna och ta reda på i vilken ordning de valdes.

Detta gör det ibland möjligt att avgöra hur specifika individer röstade.

-------------------------------------------

Fungerar detta fel?

De tekniska detaljerna är som följer:

När en omröstning görs på en Dominion ICP- eller ICE-skanner, tilldelas den ett slumpmässigt utseende "rekord-ID"-nummer, som unikt identifierar varje valsedel inom en batch från en viss maskin.

När omröstningen är klar laddas data från skannern in i en central dator som kallas valhanteringssystem (EMS).

EMS blandar röstsedlarna för att dölja den ordning i vilken de valdes, men varje valsedel är fortfarande märkt med det ursprungliga post-ID.

Tyvärr är Dominion ICP- och ICE-skannermjukvaran felaktig så att valsedel-ID:n tilldelas på ett förutsägbart sätt.

Detta gör det möjligt för vem som helst att blanda ihop röstsedlarnas bilder eller röstrekord och ta reda på i vilken ordning de röstades.

De avslutar: "Alla versioner av Dominion ICP och ICE för vilka vi har hittat information på offentlig röstningsnivå verkar vara sårbara för DVSorder, inklusive versioner som har certifierats av US Election Assistance Commission (EAC).

Problemet är specifikt för ICP och ICE; ImageCast Central-skannrar och ImageCast X DRE verkar inte lida av felet. (ImageCast Central (ICC) märker avsiktligt valsedlar i den ordning de skannas.)"

Som en fix föreslår forskarna "att sanera data på valsedelnivå innan de publiceras gör data lika säkra att släppa som om DVSorder-sårbarheten inte existerade.

Men även om jurisdiktioner sanerar informationen de offentliggör (eller om de inte publicerar någon information på valsedelnivå), medför felet fortfarande risker.

Till exempel kan osanerad data stjälas i ett dataintrång eller nås av illvilliga insiders, som kan utnyttja felet för att lära sig hur folk röstade.”

-------------------------------------------

Kommer det att påverka Mid Terms?

Ja, bristen har potential att påverka mellanårsvalet. Enligt Halderman och hans team:

En fullständig minskning av dessa risker kommer att kräva att Dominion ändrar ICP- och ICE-firmwaren för att använda en säker metod för att generera valsedlar-ID:n.

US Election Assistance Commission (EAC) har informerat oss om att Dominion planerar att rätta till felet i framtida firmwareversioner.

Men vår förståelse är att inga patchar kommer att finnas tillgängliga förrän efter valet i november, åtminstone för federalt certifierade versioner av Dominion-system.

Valtjänstemän bör kontakta Dominion för ytterligare information och för att fråga om patchtillgänglighet.