Atak hakerski storpedował wybory w partii Szymona Hołowni? Ekspert nie ma wątpliwości

Styczniowe wybory wewnętrzne w partii Polska 2050 miały wyłonić władze i potwierdzić pozycję kluczowych postaci ugrupowania, w tym Katarzyny Pełczyńskiej-Nałęcz oraz Pauliny Hennig-Kloski. Wkrótce po zakończeniu głosowania kierownictwo partii poinformowało jednak o jego unieważnieniu, tłumacząc decyzję „podejrzeniem nieuprawnionej ingerencji w system informatyczny” oraz możliwym atakiem hakerskim.

Zapowiedziano powtórzenie procedury z użyciem „bezpieczniejszych narzędzi cyfrowych” i audyt systemu, który miał obsługiwać proces wyborczy.

Publiczny link do ankiety na X

Dodatkowe światło na sprawę rzuciła aktywność posła Marka Ussa, który na swoim profilu w serwisie X (dawniej Twitter) udostępnił bezpośredni link do ankiety wyborczej. Jak wynika z ustaleń, narzędzie użyte do głosowania miało charakter prostego formularza online, bez zaawansowanej weryfikacji tożsamości i bez skutecznych mechanizmów blokujących dostęp osobom spoza struktur partii.

W praktyce oznacza to, że po publikacji linku głos oddać mógł każdy internauta, co podważa wiarygodność całego procesu i każe zadać pytanie, czy rzeczywiście doszło do ataku hakerskiego, czy raczej do rażącego błędu organizacyjnego.

Ekspert krytycznie o sposobie przeprowadzenia wyborów

Gabriel Ruszkowski, starszy inżynier systemów informatycznych, ocenia, że zastosowane narzędzie do głosowania wyglądało na bardzo proste rozwiązanie, przypominające standardowe platformy do ankiet konsumenckich. – Sprawia to wrażenie, jakby zagłosować mógł każdy, kto wszedł w posiadanie linku. Pod względem technicznym to raczej banalna strona, porównywalna z prostymi formularzami, które można stworzyć samodzielnie w oparciu o gotowe tutoriale, a nawet Google Forms oferuje wyższy poziom zabezpieczeń – podkreśla ekspert ds. IT w rozmowie z My Company Polska.

Jak dodaje, wszystko wskazuje na to, że nie zastosowano realnego mechanizmu weryfikacji tożsamości głosujących. – Wygląda na to, że nie wykorzystano skutecznie żadnych tokenów ani procedur potwierdzających, że dana osoba jest uprawniona do udziału w głosowaniu. Standardem powinno być rozwiązanie, w którym wyborca otrzymuje indywidualny link i musi dodatkowo potwierdzić swoją tożsamość. Tutaj wygląda to tak, jakby wystarczył sam dostęp do adresu strony, co otwierało pole do masowego, nieuprawnionego głosowania i zwykłego „trollowania” – podsumowuje Ruszkowski.

Poseł Uss się tłumaczy

W oświadczeniu opublikowanym w serwisie X poseł Marek Uss przyznał, że popełnił błąd, publikując nagranie z momentu oddawania głosu, na którym widoczna była nazwa systemu do głosowania oraz fragment adresu URL. Jak podkreślił, z punktu widzenia cyberbezpieczeństwa było to działanie nieodpowiednie, za które publicznie przeprosił. Jednocześnie zaznaczył, że nie był jedyną osobą udostępniającą materiały z procesu głosowania, co – jego zdaniem – pokazuje skalę braków w edukacji w zakresie bezpieczeństwa cyfrowego. Uss zapewnił jednak, że ujawnienie części adresu nie mogło wpłynąć na wynik wyborów, ponieważ każdy link był zabezpieczony jednorazowym tokenem, uniemożliwiającym ponowne oddanie głosu. Poseł zwrócił też uwagę na informacje o możliwej „nadmiernej liczbie oddanych głosów” – nawet ponad 20 tys. przy niespełna 700 uprawnionych – podkreślając, że wykrycie takiej nieprawidłowości przed wyborem przewodniczącego pozwoliło uniknąć późniejszego kwestionowania wyniku i wewnętrznego kryzysu w partii. Całą sytuację określił jako ważną lekcję, pokazującą, jak istotne znaczenie mają procedury i standardy cyberbezpieczeństwa w procesach demokratycznych.