"Умное голосование" ФБК: кто пострадал от уязвимости сайта
26 июля 2021 г.
Чем ближе сентябрьские выборы, тем чаще появляются сообщения об утечках из базы данных "Умного голосования". Чаще всего их распространяют прокремлевские телеграм-каналы и СМИ. Однако недавно помимо очередных новостей о "сливе" данных появилась
информация из другого источника, в которой говорилось о временной уязвимости IT-инфраструктуры в команде Навального . Что об этом известно?
Адреса электронных почт - в открытом доступе
В среду, 21 июля, пользователь grumpysugar в посте на веб-сайте Habr написал, что ему без особого труда удалось получить доступ к платформе управления сервисами команды Навального. Grumpysugar перешел в панель управления Kubernetes прямо из поисковой выдачи Google, где пытался найти домен rus.vote. Именно с этого домена соратники оппозиционера отправили пользователю Habr письмо с темой "Умное голосование".
Из-за ошибки разработчиков в открытом доступе оказались адреса электронной почты пользователей, которые регистрировались на сайте "Умного голосования". По словам grumpysugar, в день, когда он обнаружил проблему, ему были доступны данные за 40 дней. "Таким образом, можно было стащить хорошее количество почт и данных, когда и что именно на эту почту было выслано, - пишет пользователь Habr. - Сразу после того, как эта дыра была [мной] обнаружена, я написал ФБК, и доступ до инфраструктуры они починили".
Комментируя публикацию на Habr, IT-отдел команды Навального признал, что один из их программистов допустил ошибку, из-за которой стало возможно отслеживать регистрирующиеся почтовые адреса. Сотрудника отстранили от работы на время проверки, после чего разрешили ему вновь вернуться к работе, не обнаружив "злого умысла".
При этом айтишники из команды Навального настаивают, что уязвимость не давала возможности скачать базу "Умного голосования" с адресами зарегистрированных пользователей. "Уже почти каждую неделю в анонимных (и не очень) телеграм-каналах мы видим сообщения о якобы "утечке" адресов базы УМГ. Подобные выгрузки не имеют ничего общего с действительностью", - убеждают сотрудники IT-отдела.
В последней утечке - 191,5 тысячи адресов электронных почт
Злоумышленникам, если они воспользовались этой уязвимостью, могло быть достаточно получить базу электронных адресов, чтобы идентифицировать некоторых участников "Умного голосования". В апреле без малого 600 тысяч мейлов пользователей, зарегистрированных на сайте free.navalny.com, попали в открытый доступ. Позднее неизвестные предположительно совместили эти данные с одной из государственных баз. Таким образом в Сеть попала так называемая обогащенная база с личными данными 112 тысяч сторонников Навального: именами, фамилиями, адресами и местами работы.
Утечка с сервисов команды Навального, из-за которой grumpysugar решил публично рассказать об уязвимости "Умного голосования", якобы, произошла в июне, а в июле база данных с этого сайта была опубликована. Корреспондент DW, как и grumpysugar, обнаружил ее в одном из Telegram-каналов, которые публикуют "слитые" данные. Анализ информации с помощью языка программирования Python показал, что база содержит 191,5 тысячи адресов электронных почт. Только 14,5 тысячи из них совпали с апрельской утечкой с сайта free.navalny.com. Из них 12,4 тысячи человек можно идентифицировать, совместив их данные с обогащенной базой.
DW попыталась проверить, действительно ли последняя утечка - это база "Умного голосования". Корреспондент обратился к двум десяткам фигурантов этой базы с вопросом, регистрировались ли они на сайте проекта. Судя по полученным ответам, можно сделать вывод о том, что выложенные данные взяты не из базы участников "Умного голосования", хотя владельцы этих электронных адресов так или иначе подписаны на каналы Навального или его группы в соцсетях.
Что говорят владельцы "слитых" электронных адресов
"Ого, регистрировалась, - ответила одна пользовательница. - Насчет слитой базы не знала, но, похоже, она верная". Ее электронной почты в апрельской утечке с сайта free.navalny.com не было, поэтому нельзя сказать, что адрес просто скопировали в новую базу. С другой стороны, пользователь, электронная почта которого встречается в обеих утечках, рассказал DW, что на сайте "Умного голосования" он не регистрировался - только на сайте free.navalny.com. Кроме того, на указанную почту он получал рассылку от соратников оппозиционера.
"С этим мейлом я не регистрировалась в "Умном голосовании", но он есть в их (команды Навального - Ред.) рассылке, мне приходят на него новости", - рассказала еще одна девушка, к которой DW обратилась с вопросом. Почта другой девушки привязана и к "Умному голосованию", и к рассылке. Некоторые пользователи на запрос DW не ответили.
Предыдущий "слив" информации о сторонниках Навального, которые собирались выйти на митинги, обернулся для многих из них неприятными последствиями. Так, к примеру, профсоюз московского метрополитена сообщал, что были уволены десятки сотрудников, чьи данные фигурировали в базе.
IT-отдел команды Навального признал ошибку
После поста grumpysugar о новых утечках с сайта "Умного голосования" на портале Habr появился отчет IT-отдела команды Навального. Признавая уязвимость своей инфраструктуры, соратники российского оппозиционера писали, что устранили все ошибки и рассказали о мерах, принятых для того, чтобы "минимизировать риски повторения подобных инцидентов".
Одновременно с этим IT-отдел команды Навального отметил, что на их работу негативно повлияло преследование Фонда борьбы с коррупцией и штабов Навального, связанное с признанием ФБК экстремистской организацией и последующим запретом на деятельность. "Нам пришлось расстаться со всем штатом и некоторыми волонтерами, которые работали над проектами, - констатируют соратники Навального. - Мы в очередной раз строим команду практически с нуля, нам заново нужно организовывать работу с волонтерами, и нам не хватает технической экспертизы".
"Мы признаем ошибку с публичной доступностью внутреннего сервиса, - пишут представители IT-отдела. - Мы установили ее причины и исправили ее, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности. Мы очень надеемся на вашу поддержку и постараемся заслужить ваше доверие вновь".
Смотрите также: