10:29
30/6/2020

Polacy przebywający za granicą i chcący głosować korespondencyjnie dostali 24 godziny na to, aby dopisać się elektronicznie do rejestru wyborców. Mogli to zrobić tylko do wczoraj, do 23:59 na stronie ewybory.msz.gov.pl. Niestety, koło godziny 22:00 serwis “doznał awarii” i wnioskując po liczbie e-maili jakie w tej sprawie spłynęły na naszą skrzynkę redakcyjną, spora część Polaków zostałą pozbawiona prawa do korespondencyjnego głosowania w drugiej turze wyborów prezydenckich.

Emigrantów problemy

Oto, co widzieli Ci, którzy po godzinie 22:00 chcieli dopisać się do systemu elektronicznej rejestracji wyborców:

Uwaga, wyświetlona data jest w formacie zwariowanych Amerykanów. Chodzi o 2 marca 2020, a nie 3 lutego, choć dla sprawy to i tak nie ma większego znaczenia, bo obie daty są PRZED dniem wczorajszym.

Ostrzeżenie przeglądarki dotyczy przeterminowanego certyfikatu. Jego ważność wygasła 2 marca 2020 roku. A więc dawno, dawno temu. Czyżby przez tyle miesięcy nikt się nie zorientował? Nie… do godziny ~22:00 serwer przyjmował połączenia uwierzytelniając się aktualnym certyfikatem, a więc coś złego nastąpiło w ostatnich 3 godzinach pracy serwera przed deadlinem.

Co więcej, tuż po północy ten poprawny certyfikat powrócił na serwer (i co widać po dacie, jest to certyfikat odnowiony na tydzień przed wygaśnięciem poprzedniego, który był używany wczoraj w godzinach wieczornych):

Jak to możliwe?

Możemy się tylko domyślać, że z jakiegoś powodu (obciążenie serwera?) nastąpiła jego awaria i przywrócenie zawartości z kopii zapasowej lub przełączenie na alternatywny serwer. Kopia (ew. alternatywny serwer) posiadał starą wersję certyfikatu (więc stan kopii/serwera to data wcześniejsza niż 3 marca).

Poprosiliśmy MSZ o wyjaśnienia, kiedy je otrzymamy zaktualizujemy ten artykuł.

Dane dalej były szyfrowane

Tu warto zauważyć, że choć przeglądarka wyświetla komunikat że strona jest “niezabezpieczona”, to tak naprawdę dane przesyłane na serwer wciąż są szyfrowane (chronione w transporcie przed podsłuchem), tylko przeterminowanym certyfikatem.

To oczywiście nie usprawiedliwia administratora serwera. Osoby, które widząc komunikat ostrzegawczy przeglądarki odstąpiły od podawania danych postąpiły w naszej ocenie słusznie. Nie każdy musi się znać na tym jak działa zestawienie szyfrowanego połączenia między serwerem i przeglądarką z użyciem nieważnego certyfikatu. Poza tym, nie ma pewności co się dzieje z serwerem i czy klucz prywatny ze starego certyfikatu nie wpadł w niepowołane ręce, co umożliwiłoby przechwycenie danych przesyłanych do serwera.

Ambasady próbują ratować sytuację

W obliczy niemożliwości dopisania się do rejestru wyborców, Polonia zwróciła się do swoich ambasad, a niektóre z nich próbowały ratować sytuację tak:

Plus za chęć pomocy, ale… włos na głowie nam się jeży, jak widzimy TYLE DANYCH, które miałoby zostać przesłane na adres e-mail kogoś w ambasadzie. Kto miałby do nich dostęp? Jak długo? Gdzie zostałyby skopiowane? Pytań jest wiele, ryzyko spore. Już lepiej chyba zaakceptować przeterminowany certyfikat na serwisie ewybory.

Dlaczego przesyłanie danych wyborców e-mailem to słaby pomysł i poruszaliśmy ten wątek przy okazji afery dotyczącej Poczty Polskiej (por. Poczta Polska wystąpiła do gmin o dane wyborców w niezaszyfrowanym pliku TXT ) i jeszcze większej wpadki Ministerstwa Cyfryzacji, które “włamało się” na skrzynkę Poczty Polskiej w EPUAP-ie (por. Wyborczych porażek ciąg dalszy, nawet Ministerstwo Cyfryzacji nie umie w EPUAP).

Politykę zostawmy politykom

Certyfikat (ten poprawny) został wgrany na serwer po północy, a więc już po upływie terminu, do którego można było się rejestrować.

Na koniec mała prośba do komentujących. Ten artykuł dotyczy aspektów technicznych wczorajszego problemu i tylko na takiej warstwie czujemy się kompetentni aby zdarzenia z wczoraj interpretować. Jesteśmy świadomi krążących tu i tam opinii, że podmiana certyfikatu na niewłaściwy była celowa, aby uniemożliwić Polonii oddawanie głosów. Jesteśmy też świadomi tego, że awarie się zdarzają. I nawet jak są (a w MSZ na pewno były) procedury awaryjne, to podążenie nimi może spowodować problem. Bo ktoś nie przewidział sytuacji, że choć backupy danych się odkładają regularnie, to zaktualizowany “niedawno” certyfikat nie. Po dostępnych śladach technicznych, nie da się potwierdzić ani zaprzeczyć żadnej hipotezie — miejcie to na uwadze. To nie jest taki kaliber “zepsucia” serwisu jak podczas głosowania na listę przebojów Polskiego Radia, gdzie administratora można było złapać za rękę na celowym wprowadzeniu błędu w konfigurację serwera aby go wyłączyć. Podsumowując, wszelkie insynuacje bez dowodów z komentarzy będą wycinane.

Z kronikarskiego obowiązku odnotujmy też, że problem dotyczy tylko tych osób, które dopiero od drugiej tury wyborów chciały głosować korespondencyjnie za granicą (rejestracja na osobiste głosowanie trwa do 9 lipca), a ci, którzy zarejestrowali się przez system “na pierwszą turę” w wariancie korespondencyjnym nie musieli się wczoraj ponownie rejestrować, a wiec ich problem nie dotyczył. Ich za to dotyczy inny “błąd logiczny” systemu. Pakiet wyborczy na drugą turę przyjdzie im na podany do pierwszej tury adres. Nie wiadomo kiedy. Jeśli więc chcą głosowa w drugiej turze w innym miejscu, to mają problem…

Dziękujemy wszystkim, którzy zgłosili nam ten problem, a który wymienić tu nie sposób. Jednemu z Was podebraliśmy screeny do tego artykułu.


Aktualizacja 30.06.2020, 15:31
Chociaż, tak jak napisaliśmy, przeterminowany certyfikat można zaakceptować i — pomimo ostrzeżenia przeglądarki i zakolorowania paska adresowego na czerwono — ze stroną wciąż komunikować się w sposób szyfrujący dane, to wygląda na to, ze w przypadku serwera MSZ nie było to możliwe. Przynajmniej jeden z naszych Czytelników miał z tym problem. Serwer po akceptacji błędnego certyfikatu pluł takim błędem:

Przeczytaj także:



26 komentarzy

Dodaj komentarz
  1. “spora część Polaków zostałą pozbawiona prawa do korespondencyjnego głosowania”? Chyba chcieliście napisać coś innego, bo Polacy przebywający poza granicami kraju, którzy nie głosowali w I turze i chcieli się dopisać mniej niż 2 godziny przed deadline’em raczej nie stanowią “sporej części”… :P

  2. Data, oraz etykiety przy polach w oknach są zdeterminowane przez ustawienia regionalne interfejsu użytkownika.

  3. Zajrzyjcie wall’a na FB z 9 czerwca, bo tam z certami już się dzieje wcześniej (łapane 9 cze 2020, 23:44):

    echo | openssl s_client -showcerts -servername mfa.gov.pl -connect mfa.gov.pl:443 2>/dev/null | openssl x509 -inform pem -noout -text | grep “Not After : ”
    Not After : May 28 23:59:59 2020 GMT

    MFA = ministry of foreign affairs, dla tych co będą pytać ma ma MFA do MSZ

  4. Prawda jest taka, że MSZ robi wrażenie jakby im nie zależało na rzetelnej organizacji wyborów za granicą. Albo są skrajnie niekompetentni i zadanie ich przerosło. Albo jest w tym polityczny motyw działania. Fakty są takie, że jest wpadka za wpadką.

    > Na koniec mała prośba do komentujących.

    Przecież to nie prośba tyko groźba: “Nie piszcie nic za mocno politycznego bo skasujemy. Auto-cenzurujcie się.”

    Uważajcie z tymi próbami wymuszonej neutralności bo granica pomiędzy neutralnością, a służalczością jest cienka granica. Tutaj bardzo nadgorliwie straszycie usuwaniem komentarzy, które nie sprzyjają władzy. Kiepsko to wygląda.

    Rozumiem usuwanie komentarzy, które są niezgodne z prawem.

  5. Skoro wysyłamy tam dane to pewnie w celu weryfikacji. Wiedzę dwa problemy:
    1) Albo ambasada wydaje karty bez weryfikacji (można zamówić na inny adres znając dane osobowe i pozbawić głosu) bo to za dużo roboty z tą werfikacją
    2) Albo ambasada podejrzanie dużo może zweryfikować, i to ręcznie (w końcu jakieś białko te dane z maili będzie przeklepywać z emaili do jakiegoś systemu).
    Trochę straszne.
    3) A jeśli wszystko odbywało się automatycznie to po co ten cyrk z kartkami – na końcu powinno paść pytanie “na kogo” i już. Władza w 2050 roku zorientuje się że komputery istnieją i pozwoli na głosowanie online? Technologie mamy chyba od 40 lat dostępną a tutaj cyrki z drukowaniem, wysyłaniem, krzyżykami. Łomatko.

  6. Raczej chodziło o usuwanie komentarzy, które będą polityczne, w jakiś sposób z nią (polityką) związane, ale jak ktoś będzie miał dowód na celowe działanie i to tu opisze to raczej nikt tego nie usunie ;)

  7. słowo na dzisiaj: disenfranchisement

  8. Oczywiści jak zwykle Polacy nic się nie stało. Oczywiście odpowiedzialnego nie będzie. Ot Polska polityka.

  9. Zapisać się do głosu można też przez ePUAP, e-mailowo, telefonicznie, pocztowo, do tego deadlina, nie koniecznie trzeba było korzystać z tego systemu.

    No i to dotyczy mniejszości chcącej głosować tylko w II turze, Ci co byli zarejestrowani wcześniej mogą nadal głosować w II (chyba że zmienili adres)

  10. Przebywam poza granicami kraju i wlasciwy dla mojego miejsca pobytu jest konsulat w LA. Pakiety do glosowania w pierwszej turze zostaly wyslane (info potwierdzone w konsulacie) na adres pobytu, zamiast na korespondencyjny – osoby ktore dopisywaly sie do spisu wyborcow zapewne pamietaja, ze w formularzu nalezalo podac adres pobytu jak i wskazac ten na ktory pakiet chcielismy otrzymac. Tak wiec z jakiegos powodu nasze pakiety (bo sytuacja dotyczy rowniez mojej zony) zostaly wyslane na zly adres. Co mnie w calej sytuacji zastanawia, to gdy zaczalem kontaktowac sie z konsulatem, i dopytywac co sie z stalo z moim pakietem, otrzymalem odpowiedz, ze zostal wyslany 18 czerwca NA WSKAZANY PRZEZE MNIE adres pobytu. Ta odpowiedz mnie zaskoczyla, bo przeciez w zgloszeniu podawalem tez adres na ktory pakiet mial byc wyslany. W dodatku konsul poprosil o podanie adresu korespondencyjnego przed ewentualna druga tura, czyli wyglada to tak, jakby w konsulatach nie mieli dostepu do danych zawartych w zgloszeniach o dopisanie do spisu wyborcow.
    I teraz zastanawiam sie, jak do takiego bledu moglo dojsc, na poczatku myslalem, ze moze rekordowa frekwencja, to konsulaty zawalone praca i zwyczajnie ktos sie pomylil. I to moze prawda, ale moja watpliwosc wzbudza fakt, ze moja zone spotkalo dokladnie to samo, a zgloszenia wysylalo sie indywidualnie. Czy nie ma wiec mozliwosci, ze korzystano z jakiegos informatycznego rozwiazania i z jakiegos powodu pominieto adresy korespondencyjne lub blednie przypisano adresy pobytu jako korespondencyjne? W wiekszosci przypadkow zapewne oba adresy byly tozsame, wiec blad nie wystapil.

  11. “Wybory” niestety to już niczego nie zmienią…

  12. Ech, te białe noce w Biedrze… xD

  13. Stara prawda życiowa: chcesz zrobić coś NAPRAWDĘ ważnego – nie rób tego na ostatnią chwilę.
    Dotyczy WSZELKICH dziedzin życia, może poza spekulacją na giełdzie.

    Przykłady analogiczne do powyższego: jedziesz na spotkanie – to nie ostatnim autobusem (może mieć wypadek i nie dojechać), chcesz coś kupić – to nie na 5 minut przed zamknięciem najbliższego sklepu (bo może jedyna ekspedientka miała biegunkę i zamknęła wcześniej, a do drugiego sklepu nie zdążysz dojść).
    I tak dalej.

    • mega slaby przyklad o gieldzie, widac ze pojecia nie masz z reszta w dalszej czesci komantarza to sie tylko potwierdza co za glupoty gadasz

    • Słabo. Jednodniowy termin na rejestrację został narzucony.

  14. Unauthorized Activity Has Been Detected

    You are seeing this page because we have detected unauthorized activity. If you believe that there has been some mistake, please email our web site security team with the following case number in its subject: support.vip@t-mobile.pl

  15. Osoby, które nie płacą podatków w Polsce i w niej nie mieszkają nie powinny mieć prawa głosu.

    • chetnie poslucham twojego wyjasnienia dlaczego? nie mozna byc przeciez az takim ignorantem

    • Grzegorz a co z tymi co mieszkają w Polsce, a mając wyjazd służbowy zahaczający o wybory? ;-)

    • Osoby, które oglądają propagandową TVP, też nie powinny :D

    • To zmien konstytucje zeby bylo tak jak chcesz. A dopoki te osoby maja prawa wyborcze to nikt nie ma prawa ich wykonania sabotowac. Bo to wyglada na sabotaz albo skrajna niekompetencje.

    • Znam znacznie prostszy sposób. Organizacja wyborów wyłącznie lokalnie, jeśli ktoś chce głosować, proszę przyjechać do kraju.

  16. Tytuł artykułu jest mylący. Żadne z danych osobowych wskazanych na liście nie stanowią tzw. danych wrażliwych.

  17. “Zdziś” MSZ mówi, że to wina “dostawcy usługi”. Któż jest tym “dostawcą usługi”? Można prosić o update?

Odpowiadasz na komentarz Sosna

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: