Pesquisadores de diferentes países relataram de forma independente a descoberta de uma vulnerabilidade no sistema eletrônico de votação da Suíça. Para o grupo suíço que é responsável pelo sistema, Swiss Post, trata-se de falha crítica no código-fonte relacionado à verificação universal.

Embora a vulnerabilidade descoberta não permita a infiltração no próprio sistema de votação, pode permitir que um atacante que tenha acesso local a uma das máquinas de votação e manipule os votos emitidos. O problema estava no sistema criptográfico que é responsável por verificar que os votos emitidos sejam os mesmos que os relatados, já que, segundo os pesquisadores, o sistema criptográfico é fraco e poderia permitir alterar os votos.

Depois que o erro foi relatado, o Swiss Post solicitou que a Scytl, empresa de tecnologia responsável pelo desenvolvimento do sistema, reparasse a falha que já havia sido identificada em 2017, mas cujas correções não haviam sido realizadas completamente. Atualmente, o erro no código já foi corrigido e a modificação será aplicada no sistema com a próxima atualização programada.

A Universidade de Melbourne publicou uma breve descrição da descoberta feita por pesquisadores e acadêmicos da universidade e também mencionou que a mesma falha foi descoberta de forma independente por Rolf Haenni, da Universidade de Ciências Aplicadas de Berna - que publicou uma análise mais completa sobre Vulnerabilidade -, e também por Thomas Haines da Universidade Norueguesa de Ciência e Tecnologia (NTNU).

A descoberta ocorreu após a divulgação, em 25 de fevereiro, do programa de bounty bugs lançado pelo governo suíço, com vigência até 24 de março, no qual convida especialistas em segurança de qualquer lugar do mundo para realizar testes de intrusão no sistema de votação para descobrir falhas de segurança.

Atualmente, o sistema eletrônico de votação, que está sendo usado em quatro cantões suíços, não é afetado por este erro no código-fonte porque a falha afeta exclusivamente o sistema de votação que usa a verificação universal, que foi incluída para os testes de intrusão, mas que nunca foi usada para votações reais. Espera-se que, após os testes de intrusão realizados, o sistema de votação possa ser usado para as eleições federais programadas para outubro de 2019.

Os pesquisadores que relataram a falha não estão participando do programa de bounty bugs lançado pelo governo suíço, embora tenham usado o código-fonte publicado para que os especialistas que se inscreveram no programa de recompensas possam realizar testes.