xcounter
Calendar Icon

"Умное голосование" Навального: кто пострадал от уязвимости сайта

26.07.2021 14:10

Адреса электронной почты тех, кто зарегистрировался на сайте "Умного голосования", попали в открытый доступ, утверждают критики Навального. DW проверила, так ли это, и кто действительно стал объектом утечки.Чем ближе сентябрьские выборы, тем чаще появляются сообщения об утечках из базы данных "Умного голосования". Чаще всего их распространяют прокремлевские телеграм-каналы и СМИ. Однако недавно помимо очередных новостей о "сливе" данных появилась

информация из другого источника, в которой говорилось о временной уязвимости IT-инфраструктуры в команде Навального . Что об этом известно?

Адреса электронных почт - в открытом доступе

В среду, 21 июля, пользователь grumpysugar в посте на веб-сайте Habr написал, что ему без особого труда удалось получить доступ к платформе управления сервисами команды Навального. Grumpysugar перешел в панель управления Kubernetes прямо из поисковой выдачи Google, где пытался найти домен rus.vote. Именно с этого домена соратники оппозиционера отправили пользователю Habr письмо с темой "Умное голосование".

Из-за ошибки разработчиков в открытом доступе оказались адреса электронной почты пользователей, которые регистрировались на сайте "Умного голосования". По словам grumpysugar, в день, когда он обнаружил проблему, ему были доступны данные за 40 дней. "Таким образом, можно было стащить хорошее количество почт и данных, когда и что именно на эту почту было выслано, - пишет пользователь Habr. - Сразу после того, как эта дыра была [мной] обнаружена, я написал ФБК, и доступ до инфраструктуры они починили".

Комментируя публикацию на Habr, IT-отдел команды Навального признал, что один из их программистов допустил ошибку, из-за которой стало возможно отслеживать регистрирующиеся почтовые адреса. Сотрудника отстранили от работы на время проверки, после чего разрешили ему вновь вернуться к работе, не обнаружив "злого умысла".

При этом айтишники из команды Навального настаивают, что уязвимость не давала возможности скачать базу "Умного голосования" с адресами зарегистрированных пользователей. "Уже почти каждую неделю в анонимных (и не очень) телеграм-каналах мы видим сообщения о якобы "утечке" адресов базы УМГ. Подобные выгрузки не имеют ничего общего с действительностью", - убеждают сотрудники IT-отдела.

В последней утечке - 191,5 тысячи адресов электронных почт

Злоумышленникам, если они воспользовались этой уязвимостью, могло быть достаточно получить базу электронных адресов, чтобы идентифицировать некоторых участников "Умного голосования". В апреле без малого 600 тысяч мейлов пользователей, зарегистрированных на сайте free.navalny.com, попали в открытый доступ. Позднее неизвестные предположительно совместили эти данные с одной из государственных баз. Таким образом в Сеть попала так называемая обогащенная база с личными данными 112 тысяч сторонников Навального: именами, фамилиями, адресами и местами работы.

Утечка с сервисов команды Навального, из-за которой grumpysugar решил публично рассказать об уязвимости "Умного голосования", якобы, произошла в июне, а в июле база данных с этого сайта была опубликована. Корреспондент DW, как и grumpysugar, обнаружил ее в одном из Telegram-каналов, которые публикуют "слитые" данные. Анализ информации с помощью языка программирования Python показал, что база содержит 191,5 тысячи адресов электронных почт. Только 14,5 тысячи из них совпали с апрельской утечкой с сайта free.navalny.com. Из них 12,4 тысячи человек можно идентифицировать, совместив их данные с обогащенной базой.

DW попыталась проверить, действительно ли последняя утечка - это база "Умного голосования". Корреспондент обратился к двум десяткам фигурантов этой базы с вопросом, регистрировались ли они на сайте проекта. Судя по полученным ответам, можно сделать вывод о том, что выложенные данные взяты не из базы участников "Умного голосования", хотя владельцы этих электронных адресов так или иначе подписаны на каналы Навального или его группы в соцсетях.

Что говорят владельцы "слитых" электронных адресов

"Ого, регистрировалась, - ответила одна пользовательница. - Насчет слитой базы не знала, но, похоже, она верная". Ее электронной почты в апрельской утечке с сайта free.navalny.com не было, поэтому нельзя сказать, что адрес просто скопировали в новую базу. С другой стороны, пользователь, электронная почта которого встречается в обеих утечках, рассказал DW, что на сайте "Умного голосования" он не регистрировался - только на сайте free.navalny.com. Кроме того, на указанную почту он получал рассылку от соратников оппозиционера.

"С этим мейлом я не регистрировалась в "Умном голосовании", но он есть в их (команды Навального - Ред.) рассылке, мне приходят на него новости", - рассказала еще одна девушка, к которой DW обратилась с вопросом. Почта другой девушки привязана и к "Умному голосованию", и к рассылке. Некоторые пользователи на запрос DW не ответили.

Предыдущий "слив" информации о сторонниках Навального, которые собирались выйти на митинги, обернулся для многих из них неприятными последствиями. Так, к примеру, профсоюз московского метрополитена сообщал, что были уволены десятки сотрудников, чьи данные фигурировали в базе.

IT-отдел команды Навального признал ошибку

После поста grumpysugar о новых утечках с сайта "Умного голосования" на портале Habr появился отчет IT-отдела команды Навального. Признавая уязвимость своей инфраструктуры, соратники российского оппозиционера писали, что устранили все ошибки и рассказали о мерах, принятых для того, чтобы "минимизировать риски повторения подобных инцидентов".

Одновременно с этим IT-отдел команды Навального отметил, что на их работу негативно повлияло преследование Фонда борьбы с коррупцией и штабов Навального, связанное с признанием ФБК экстремистской организацией и последующим запретом на деятельность. "Нам пришлось расстаться со всем штатом и некоторыми волонтерами, которые работали над проектами, - констатируют соратники Навального. - Мы в очередной раз строим команду практически с нуля, нам заново нужно организовывать работу с волонтерами, и нам не хватает технической экспертизы".

"Мы признаем ошибку с публичной доступностью внутреннего сервиса, - пишут представители IT-отдела. - Мы установили ее причины и исправили ее, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности. Мы очень надеемся на вашу поддержку и постараемся заслужить ваше доверие вновь".

Эта новость также на сайте Deutsche Welle.

Лучшие криптовалютные биржи 2021 года для начинающих трейдеров

Лучшие криптовалютные биржи 2021 года для начинающих трейдеров

Популярные видео на YouTUBE
Материалы по теме
А-9834,58 грн./литр
А-95+31,39 грн./литр
А-9529,72 грн./литр
А-9228,7 грн./литр
ДТ28,44 грн./литр
LPG15,83 грн./литр
Это интересно
Самые читаемые новости
Лучшие видео с YouTUBE
Популярные блоги
Погода и гороскоп
Автоновости