Voatz pede restrições à pesquisa independente sobre segurança cibernética em resumo da Suprema Corte

A startup de votação em blockchain Voatz argumentou que os programas de recompensa por bugs relacionados à segurança cibernética deveriam ser operados sob supervisão rigorosa em um memorando de "amigo da corte" perante a Suprema Corte dos Estados Unidos (SCOTUS).

Voatz pesou na quinta-feira emVan Buren v. Estados Unidos, um caso da Suprema Corte que examina se é um crime federal alguém acessar um computador “para um propósito impróprio” se essa pessoa já tiver permissão para acessar outros arquivos naquele computador.

Nathan Van Buren, o peticionário no caso, é um ex-policial da Geórgiaquem foi acusadosob oLei de Fraude e Abuso de Computador(CFAA) após procurar uma placa de carro de um conhecido. Van Buren alega que uma decisão de um tribunal inferior que confirmou sua condenação poderia ser interpretada como significando que “qualquer ‘violação trivial’” de um sistema de computador poderia ser um crime federal.

O escopo do caso parece ter se ampliado, abordando não apenas violações, mas como o próprio CFAA pode ser interpretado. A questão listada nos memoriais do SCOTUS diz:

“Se as evidências foram suficientes para estabelecer que o requerente, um sargento da polícia, excedeu seu acesso autorizado a um computador protegido para obter informações para ganho financeiro, em violação de 18 U.S.C. 1030(a)(2)(C) e (c)(2)(B)(i), quando em troca de um pagamento em dinheiro, ele pesquisou um banco de dados confidencial de aplicação da lei para obter informações sobre se uma pessoa em particular era um policial disfarçado.”

Os EUA,o respondente, argumentou que o caso é um “veículo ruim” para examinar se a CFAA é muito ampla e disse em seu resumo que a revisão da SCOTUS T mesmo é justificada.

Em seu resumo, a Voatz disse que o CFAA não precisa ser restringido, e algumas violações de sistemas de computador são necessárias. No entanto, a empresa argumenta que pesquisadores que buscam vulnerabilidades potenciais devem verificar especificamente com as empresas que estão avaliando antes de fazê-lo, e devem prosseguir somente com autorização das empresas.

Veja também:Voatz e por que ainda T podemos confiar na votação online

“Programas de recompensa por bugs são altamente eficazes”, escreveu Voatz. “Eles são extremamente difundidos na indústria de Tecnologia e, mesmo fora dessa indústria, uma pesquisa em 2019 relatou que 42% das empresas fora da indústria de Tecnologia estavam executando um programa de segurança cibernética de crowdsourcing.”

O briefing pode vir em respostapara outro arquivadopor um grupo de pesquisadores de segurança que argumentam que o CFAA foi de fato “interpretado de forma muito ampla”, o que está atrasando os esforços de segurança de computadores. Este resumo critica o Voatz entre seus outros argumentos.

Regras amplas

Voatz enfrentou críticas notáveis de pesquisadores de segurança cibernética, inclusive poruma equipe no MITque publicou um relatório em fevereiro alegando que a Voatz tinha transparência insuficiente e que seus sistemas internos enfrentavam uma série de vulnerabilidades. A Voatz contestou as alegações no relatório.

Trail of Bits, outra empresa de segurança cibernética escolhida pela Voatz para realizar uma auditoria de seus sistemas,confirmou as alegações dos pesquisadores do MITem um relatório subsequente.

Voatz também entrou em conflito direto com pesquisadores.No final do ano passado, O procurador dos EUA, Mike Stuart, do Distrito Sul da Virgínia Ocidental, anunciou que o Federal Bureau of Investigation estava investigando "uma tentativa malsucedida de intrusão" no Voatz, que provavelmente foi causada por um ou mais alunos da Universidade de Michigan que participavam de um curso de segurança.

Em seu resumo, a Voatz disse que a “atividade imprudente dos alunos” foi relatada às autoridades da Virgínia Ocidental porque a empresa não conseguiu distinguir entre sua pesquisa e um ataque hostil real.

“Independentemente dos detalhes, no entanto, o incidente da Virgínia Ocidental ilustra o dano causado pelo ataque, ou ‘pesquisa’, de infraestrutura crítica sem acesso ou autorização adequados, especialmente no meio de uma eleição”, escreveu Voatz.

Pesquisadores não maliciosos que tentam invadir ferramentas digitais “impõem custos adicionais significativos” às organizações, disse o resumo jurídico, e podem prejudicar a confiança do público.

Veja também:'Óleo de cobra e lixo caro': por que o blockchain T conserta a votação online

Jake Williams, que fundou a Rendition Security,disse à CNETque uma “vasta maioria” de pesquisadores de segurança cibernética provavelmente não tem autorização, o que significa que o apoio de Voatz a uma CFAA ampla “tornaria 100% mais difícil” para os pesquisadores.

O briefing de Voatz chega um dia depoispublicou um comunicado de imprensa alegando que o Partido Democrata de Michigan usou seu aplicativo durante uma convenção partidária recente ao votar para uma série de cargos. O Partido Democrata de Michigan não retornou imediatamente uma Request de comentário.

Visões contrárias

Deixando de lado os argumentos de Voatz, seu resumo faz uma série de citações e alegações que parecem carecer de contexto.

Voatz diz que ele foi usado em 70 eleições, incluindo eleições estaduais e municipais, e afirma no resumo que ele é considerado “infraestrutura crítica” pelo Departamento de Segurança Interna.

As eleições incluem a Virgínia Ocidental (que anunciou em março quenão estaria usando Voatzpara as próximas eleições) e o Condado de Utah (cujo escrivão e auditorrecebeu uma doação de campanha de US$ 1.500do CEO da Overstock, Jonathan Johnson, que também é presidente da Medici Ventures, investidora da Voatz).

A empresa disse que está atendendo aos requisitos do Pro V&V, um laboratório federal de testes de sistemas de votação, mas de acordo com o repórter de segurança cibernética do Politico, Eric Geller, “o relatório não tem sentido"porque os padrões foram definidos anos atrás e a avaliação não era objetiva.

Eddie Perez, diretor global de desenvolvimento de tecnologia do Open Source Election Tecnologia Institute, escreveu que a Comissão de Assistência Eleitoral (EAC), a entidade federal que credenciou o Pro V&V, na verdade T tem nenhum padrão nacionalpara sistemas de votação remota.

Veja também:Falha na carteira de hardware permite que invasores mantenham Cripto para resgate sem tocar no dispositivo

O próprio EACdivulgou uma declaraçãodizendo que “esses relatórios de teste não devem ser vistos como aprovação implícita pelos [laboratórios de teste do sistema de votação] ou pelo EAC de que os sistemas avaliados estão em conformidade com o padrão [de diretrizes do sistema de votação voluntária] ou são equivalentes a um sistema de votação certificado pelo EAC”.

"Atualmente, esses programas são organizados pela própria Voatz, mas no passado alguns eram conduzidos por um fornecedor como a HackerOne Inc.", disse o resumo. Não mencionou que a HackerOnelaços rompidoscom Voatz em março.

Além disso, o fundador e CTO do HackerOneAlex Rice disse no Twitterque “apoiamos os argumentos opostos feitos pela” Electronic Frontier Foundation (EFF), que pede um estreitamento do CFAA, ao contrário da Voatz, que citou a HackerOne no resumo.

Da mesma forma, Casey Ellis, fundador e CTO da plataforma de segurança crowdsourced Bugcrowd, que Voatz citou diversas vezes,também escreveuque ele assinou e apoiou o briefing da EFF, e não o de Voatz.

Tanto Rice quanto Ellis disseram que a Voatz não os contatou antes de apresentar a petição.