1. Перейти к содержанию
  2. Перейти к главному меню
  3. К другим проектам DW

"Умное голосование" ФБК: кто пострадал от уязвимости сайта

Сергей Сатановский
26 июля 2021 г.

Адреса электронной почты тех, кто зарегистрировался на сайте "Умного голосования", попали в открытый доступ, утверждают критики Навального. DW проверила, так ли это, и кто действительно стал объектом утечки.

https://p.dw.com/p/3y3tX
Силуэт хакера над клавиатурой
В июне и июле в сети неоднократно появлялись сообщения об утечке данных с сайта "Умного голосования"Фото: Reuters/K. Pempel

Чем ближе сентябрьские выборы, тем чаще появляются сообщения об утечках из базы данных "Умного голосования". Чаще всего их распространяют прокремлевские телеграм-каналы и СМИ. Однако недавно помимо очередных новостей о "сливе" данных появилась
информация из другого источника, в которой говорилось о временной уязвимости IT-инфраструктуры  в команде Навального . Что об этом известно?

Адреса электронных почт - в открытом доступе

В среду, 21 июля, пользователь grumpysugar в посте на веб-сайте Habr написал, что ему без особого труда удалось получить доступ к платформе управления сервисами команды Навального. Grumpysugar перешел в панель управления Kubernetes прямо из поисковой выдачи Google, где пытался найти домен rus.vote. Именно с этого домена соратники оппозиционера отправили пользователю Habr письмо с темой "Умное голосование".

Из-за ошибки разработчиков в открытом доступе оказались адреса электронной почты пользователей, которые регистрировались на сайте "Умного голосования". По словам grumpysugar, в день, когда он обнаружил проблему, ему были доступны данные за 40 дней. "Таким образом, можно было стащить хорошее количество почт и данных, когда и что именно на эту почту было выслано, - пишет пользователь Habr. - Сразу после того, как эта дыра была [мной] обнаружена, я написал ФБК, и доступ до инфраструктуры они починили".

Алексей Навальный
На сайте Habr появился пост об уязвимости инфраструктуры IT-отдела команды НавальногоФото: Vasily Maximov/AFP/Getty Images

Комментируя публикацию на Habr, IT-отдел команды Навального признал, что один из их программистов допустил ошибку, из-за которой стало возможно отслеживать регистрирующиеся почтовые адреса. Сотрудника отстранили от работы на время проверки, после чего разрешили ему вновь вернуться к работе, не обнаружив "злого умысла".

При этом айтишники из команды Навального настаивают, что уязвимость не давала возможности скачать базу "Умного голосования" с адресами зарегистрированных пользователей. "Уже почти каждую неделю в анонимных (и не очень) телеграм-каналах мы видим сообщения о якобы "утечке" адресов базы УМГ. Подобные выгрузки не имеют ничего общего с действительностью", - убеждают сотрудники IT-отдела.

В последней утечке - 191,5 тысячи адресов электронных почт

Злоумышленникам, если они воспользовались этой уязвимостью, могло быть достаточно получить базу электронных адресов, чтобы идентифицировать некоторых участников "Умного голосования". В апреле без малого 600 тысяч мейлов пользователей, зарегистрированных на сайте free.navalny.com, попали в открытый доступ. Позднее неизвестные предположительно совместили эти данные с одной из государственных баз. Таким образом в Сеть попала так называемая обогащенная база с личными данными 112 тысяч сторонников Навального: именами, фамилиями, адресами и местами работы.

Утечка с сервисов команды Навального, из-за которой grumpysugar решил публично рассказать об уязвимости "Умного голосования", якобы, произошла в июне, а в июле база данных с этого сайта была опубликована.  Корреспондент DW, как и grumpysugar, обнаружил ее в одном из Telegram-каналов, которые публикуют "слитые" данные. Анализ информации с помощью языка программирования Python показал, что база содержит 191,5 тысячи адресов электронных почт. Только 14,5 тысячи из них совпали с апрельской утечкой с сайта free.navalny.com. Из них 12,4 тысячи человек можно идентифицировать, совместив их данные с обогащенной базой.

DW попыталась проверить, действительно ли последняя утечка - это база "Умного голосования". Корреспондент обратился к двум десяткам фигурантов этой базы с вопросом, регистрировались ли они на сайте проекта. Судя по полученным ответам, можно сделать вывод о том, что выложенные данные взяты не из базы участников "Умного голосования", хотя владельцы этих электронных адресов так или иначе подписаны на каналы Навального или его группы в соцсетях.

Что говорят владельцы "слитых" электронных адресов

"Ого, регистрировалась, - ответила одна пользовательница. - Насчет слитой базы не знала, но, похоже, она верная". Ее электронной почты в апрельской утечке с сайта free.navalny.com не было, поэтому нельзя сказать, что адрес просто скопировали в новую базу. С другой стороны, пользователь, электронная почта которого встречается в обеих утечках, рассказал DW, что на сайте "Умного голосования" он не регистрировался - только на сайте free.navalny.com. Кроме того, на указанную почту он получал рассылку от соратников оппозиционера.

Митинг в поддержку Навального, апрель, 2021 год
Предыдущий "слив" данных сторонников Навального для многих из них обернулся увольнениямиФото: Alexander Zemlianichenko/AP/picture alliance

"С этим мейлом я не регистрировалась в "Умном голосовании", но он есть в их (команды Навального - Ред.) рассылке, мне приходят на него новости", - рассказала еще одна девушка, к которой DW обратилась с вопросом. Почта другой девушки привязана и к "Умному голосованию", и к рассылке. Некоторые пользователи на запрос DW не ответили.

Предыдущий "слив" информации о сторонниках Навального, которые собирались выйти на митинги, обернулся для многих из них неприятными последствиями. Так, к примеру, профсоюз московского метрополитена сообщал, что были уволены десятки сотрудников, чьи данные фигурировали в базе. 

IT-отдел команды Навального признал ошибку

После поста grumpysugar о новых утечках с сайта "Умного голосования" на портале Habr появился отчет IT-отдела команды Навального. Признавая уязвимость своей инфраструктуры, соратники российского оппозиционера писали, что устранили все ошибки и рассказали о мерах, принятых для того, чтобы "минимизировать риски повторения подобных инцидентов".

Одновременно с этим IT-отдел команды Навального отметил, что на их работу негативно повлияло преследование Фонда борьбы с коррупцией и штабов Навального, связанное с признанием ФБК экстремистской организацией  и последующим запретом на деятельность. "Нам пришлось расстаться со всем штатом и некоторыми волонтерами, которые работали над проектами, - констатируют соратники Навального. - Мы в очередной раз строим команду практически с нуля, нам заново нужно организовывать работу с волонтерами, и нам не хватает технической экспертизы".

"Мы признаем ошибку с публичной доступностью внутреннего сервиса, - пишут представители IT-отдела. - Мы установили ее причины и исправили ее, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности. Мы очень надеемся на вашу поддержку и постараемся заслужить ваше доверие вновь".

"Закон против ФБК": что грозит соратникам Навального?

Смотрите также:

Пропустить раздел Еще по теме

Еще по теме

Показать еще