El sitio de peticiones es puramente un mecanismo para ver si puede haber un número lo suficientemente alto como para apoyar algo, y si es así, se discutirá algo en el Parlamento.

Hay algunos controles y balances (por ejemplo, se identificaron y eliminaron 80,000 votos falsos) pero no hay necesidad de un alto nivel de confianza aquí, ya que ninguna de estas peticiones decide nada.

Para la reanudación del referéndum de salida en Europa, hay alrededor de 4 millones de firmantes, e incluso con cierto nivel de fraude, el gobierno ya sabe que es algo que deben discutir.

En resumen: ¿se puede confiar al nivel requerido para este propósito? casi seguro ¿Se puede confiar en no tener fraude? No.

Comentarios generales

¿Puede estar 100% seguro de que cada firma es de una persona real? No. ¿Puedes tomar algunas precauciones para que sea más difícil hacer trampa? Sí.

Aquí hay algunas cosas que el gobierno británico podría hacer (no sé si realmente lo hacen):

• Requiera un CAPTCHA exitoso después de X intentos desde la misma IP.
• Límite de velocidad por IP. Claro, es posible que cinco personas en el mismo hogar deseen inscribirse, o 10 personas en la misma red de la compañía después de haber conversado al respecto durante el almuerzo. Pero si obtiene 100 firmas en un patrón constante, puede estar bastante seguro de que alguien está tratando de inflar los números.
• Realiza la geolocalización de la IP y se correlaciona con el código postal ingresado. La mayoría de las personas harían esto desde casa sin una VPN o proxy. Si obtiene el 90% de las firmas coincidentes, puede estar bastante seguro de que la mayoría de ellas son legítimas.
• Busque el patrón en los datos. Si hay un aumento extraño en el registro durante dos horas, y esos registros tienen características diferentes a los demás, podría deberse a que alguien alquiló una red de bots durante ese período de tiempo.
• Cuando la petición alcance un límite, seleccione una selección aleatoria de firmantes e intente verificarlos. Esto se podría hacer, por ejemplo. enviándoles un correo electrónico y pidiéndoles que llamen desde un número de teléfono del Reino Unido que figura en el nombre que usaron en la petición. Esto le daría una estimación de límite superior sobre el porcentaje grande de firmas falsas.

¿Podría un atacante inteligente con una botnet superar estas cosas? Posiblemente, pero sí sube la barra.

Estudio de caso

Stu-W vinculado a un script de Python utilizado para firmar automáticamente la petición. El script tiene una serie de puntos débiles que podrían usarse fácilmente para filtrar las falsificaciones:

• El código postal es una constante codificada en el script (SW1A 0AA). Incluso si los usuarios individuales lo cambiaran, un gran número de firmas del mismo código postal en un corto tiempo sería un regalo absoluto.
• Los correos electrónicos utilizados se generan con el módulo tempmail de Python, que es solo un contenedor para el temp-mail.ru service. Así que solo filtrar los dominios utilizados por ellos haría el truco.
• El nombre es solo un grupo de caracteres aleatorios como "ûqv knzõâ".
• Todas las publicaciones serían de la misma dirección IP. Así que solo limite la tasa o filtre las IP con más de X firmas en el tiempo Y de la base de datos.
• No se intenta establecer un encabezado User-Agent creíble.

En otras palabras, este script es bastante tonto. Aunque podría usarse para firmar la petición, eso no significa que las firmas obviamente falsas no se filtrarán más adelante. El hecho de que usted envíe no significa que se lo contarán.

No sé si así es como se hacen las cosas en Gran Bretaña, pero así es como se hacen las cosas en los Países Bajos cada vez que se envía una petición al gobierno:

• Se toma una muestra aleatoria de las firmas;
• Estas firmas están verificadas (creo que llaman a las personas para preguntar si han firmado);
• la proporción resultante de firmas válidas: inválidas se aplica a toda la petición.

Si bastantes de las firmas en la petición son válidas, la petición debe ser tomada en consideración por el parlamento.

Dado que el umbral sobre peticiones en el Reino Unido es 10,000 para ser considerado por el gobierno y 100,000 para ser considerado para el debate, solo 0.3% (consideración) / 2.7% (debate) de 3,677,062 firmas tendrían que ser válidas.

No se puede hacer coincidir el código postal con la ubicación de IP, uso Plusnet en el Reino Unido y aparece como si estuviera en Dundee (a varios cientos de millas de distancia) de mí cuando verifico mi ubicación según la ubicación. Por lo tanto, no se puede usar para verificar.

Del mismo modo, no necesita millones de direcciones de correo electrónico, solo 1 con muchos alias, suponiendo que la dirección de correo electrónico esté realmente marcada.

Dudo que el sitio de la petición se haya construido teniendo en cuenta la verificación del fraude, ya que hasta hace poco las peticiones eran en su mayoría asuntos triviales. Probablemente solo sea un simple formulario web con una respuesta de correo electrónico y un comprobador de duplicados para el código postal y el nombre (varias personas podrían vivir en el mismo lugar)

Para la herramienta de gobierno:

Veo un punto interesante: hay un mapa que muestra la distribución entre los votos: enlace .

Aquí podemos ver que los votos se han realizado en todo el país, y la distribución parece seguir la densidad de población (más votos en Londres, ...). Un robot elaborado podría haber imitado eso, ¿pero tan rápido? Esto parece poco probable.

Esto aún requerirá proporcionar 4 billones de direcciones de correo diferentes. La mayoría de los proveedores realizan comprobaciones y, si utiliza uno o dos dominios de correo que no están ampliamente utilizados y protegidos contra los robots, aún puede detectar y descartar esos votos.

Además, es una herramienta del gobierno, por lo que pueden tener algunos controles a su alrededor (prohibir la IP del proxy detectando gran cantidad de la misma IP, ...) pero no los conozco.

Entonces, creo que esta petición con la herramienta del gobierno parece ser confiable, ya que genera tantos votos teniendo en cuenta las direcciones de correo y la repartición del código postal en el corto tiempo que ha pasado desde los primeros resultados.

EDITAR: Respondiendo a los comentarios de DW: dado que el OP está ganando si la herramienta del gobierno es confiable con respecto a la única petición con 4000000 votos, lo que estaba diciendo en este caso, es definitivamente confiable, los votos falsos se filtrarán bien Lo suficiente para no ser tan representativo.

Ahora, si pidió 10 mil votos, es posible que los votos falsos sean demasiado representativos para ser dignos de confianza.

Si bien la respuesta sería "no", en este caso no importa. Todo lo que es, está en 'indicador'. No es necesario confiar en él para que se lo "mire".

Si alguien fuera a votar por Internet, este sistema sería una muy mala idea de usar.

No es solo seguridad técnica lo que debes tener en cuenta. Ningún sistema de votación en línea es una boleta secreta; no hay manera de eliminar la presión social para votar de una manera particular. Un miembro dominante del hogar puede acosar a otros miembros de la familia para que firmen, o simplemente usar sus direcciones de correo electrónico para hacerlo él mismo.

Pueden verificar el nombre y el código postal en el registro electoral . Cuando dicen que se eliminaron 80,000 nombres fraudulentos, creo que esos son los que no coinciden (no lo sé con seguridad).

Sin embargo, esto es defectuoso porque gran parte de el censo electoral es público.

No puedes hacerlo a prueba de fallas, pero puedes aumentar la cantidad de parámetros a tener en cuenta para que el porcentaje máximo de trampas se vuelva estadísticamente insignificante.

Aún así, vivo en Francia, he estado en Gales una vez durante aproximadamente una semana en toda mi vida, y acabo de firmar la petición como un londinense que vive en 1 Jamaica St. Mi navegador web no tiene permiso para usar la geolocalización, pero No utilicé ninguna VPN o proxy para poder ser detectado. Con una o dos precauciones más adecuadas, podría haber sido considerado como un londinense totalmente legítimo, pero solo soy un individuo entre nuestras especies de agujeros.

Si las peticiones son confiables o no, depende de sus consideraciones estadísticas y de la definición de confiabilidad.