"Умное голосование" ФБК: кто пострадал от уязвимости сайта
Сергей Сатановский
26 июля 2021 г.
Адреса электронной почты тех, кто зарегистрировался на сайте "Умного голосования", попали в открытый доступ, утверждают критики Навального. DW проверила, так ли это, и кто действительно стал объектом утечки.
В июне и июле в сети неоднократно появлялись сообщения об утечке данных с сайта "Умного голосования"Фото: Reuters/K. Pempel
Реклама
Чем ближе сентябрьские выборы, тем чаще появляются сообщения об утечках из базы данных "Умного голосования". Чаще всего их распространяют прокремлевские телеграм-каналы и СМИ. Однако недавно помимо очередных новостей о "сливе" данных появилась
информация из другого источника, в которой говорилось о временной уязвимости IT-инфраструктуры в команде Навального . Что об этом известно?
Адреса электронных почт - в открытом доступе
В среду, 21 июля, пользователь grumpysugar в посте на веб-сайте Habr написал, что ему без особого труда удалось получить доступ к платформе управления сервисами команды Навального. Grumpysugar перешел в панель управления Kubernetes прямо из поисковой выдачи Google, где пытался найти домен rus.vote. Именно с этого домена соратники оппозиционера отправили пользователю Habr письмо с темой "Умное голосование".
Из-за ошибки разработчиков в открытом доступе оказались адреса электронной почты пользователей, которые регистрировались на сайте "Умного голосования". По словам grumpysugar, в день, когда он обнаружил проблему, ему были доступны данные за 40 дней. "Таким образом, можно было стащить хорошее количество почт и данных, когда и что именно на эту почту было выслано, - пишет пользователь Habr. - Сразу после того, как эта дыра была [мной] обнаружена, я написал ФБК, и доступ до инфраструктуры они починили".
На сайте Habr появился пост об уязвимости инфраструктуры IT-отдела команды НавальногоФото: Vasily Maximov/AFP/Getty Images
Комментируя публикацию на Habr, IT-отдел команды Навального признал, что один из их программистов допустил ошибку, из-за которой стало возможно отслеживать регистрирующиеся почтовые адреса. Сотрудника отстранили от работы на время проверки, после чего разрешили ему вновь вернуться к работе, не обнаружив "злого умысла".
При этом айтишники из команды Навального настаивают, что уязвимость не давала возможности скачать базу "Умного голосования" с адресами зарегистрированных пользователей. "Уже почти каждую неделю в анонимных (и не очень) телеграм-каналах мы видим сообщения о якобы "утечке" адресов базы УМГ. Подобные выгрузки не имеют ничего общего с действительностью", - убеждают сотрудники IT-отдела.
В последней утечке - 191,5 тысячи адресов электронных почт
Злоумышленникам, если они воспользовались этой уязвимостью, могло быть достаточно получить базу электронных адресов, чтобы идентифицировать некоторых участников "Умного голосования". В апреле без малого 600 тысяч мейлов пользователей, зарегистрированных на сайте free.navalny.com, попали в открытый доступ. Позднее неизвестные предположительно совместили эти данные с одной из государственных баз. Таким образом в Сеть попала так называемая обогащенная база с личными данными 112 тысяч сторонников Навального: именами, фамилиями, адресами и местами работы.
Утечка с сервисов команды Навального, из-за которой grumpysugar решил публично рассказать об уязвимости "Умного голосования", якобы, произошла в июне, а в июле база данных с этого сайта была опубликована. Корреспондент DW, как и grumpysugar, обнаружил ее в одном из Telegram-каналов, которые публикуют "слитые" данные. Анализ информации с помощью языка программирования Python показал, что база содержит 191,5 тысячи адресов электронных почт. Только 14,5 тысячи из них совпали с апрельской утечкой с сайта free.navalny.com. Из них 12,4 тысячи человек можно идентифицировать, совместив их данные с обогащенной базой.
DW попыталась проверить, действительно ли последняя утечка - это база "Умного голосования". Корреспондент обратился к двум десяткам фигурантов этой базы с вопросом, регистрировались ли они на сайте проекта. Судя по полученным ответам, можно сделать вывод о том, что выложенные данные взяты не из базы участников "Умного голосования", хотя владельцы этих электронных адресов так или иначе подписаны на каналы Навального или его группы в соцсетях.
Реклама
Что говорят владельцы "слитых" электронных адресов
"Ого, регистрировалась, - ответила одна пользовательница. - Насчет слитой базы не знала, но, похоже, она верная". Ее электронной почты в апрельской утечке с сайта free.navalny.com не было, поэтому нельзя сказать, что адрес просто скопировали в новую базу. С другой стороны, пользователь, электронная почта которого встречается в обеих утечках, рассказал DW, что на сайте "Умного голосования" он не регистрировался - только на сайте free.navalny.com. Кроме того, на указанную почту он получал рассылку от соратников оппозиционера.
Предыдущий "слив" данных сторонников Навального для многих из них обернулся увольнениямиФото: Alexander Zemlianichenko/AP/picture alliance
"С этим мейлом я не регистрировалась в "Умном голосовании", но он есть в их (команды Навального - Ред.) рассылке, мне приходят на него новости", - рассказала еще одна девушка, к которой DW обратилась с вопросом. Почта другой девушки привязана и к "Умному голосованию", и к рассылке. Некоторые пользователи на запрос DW не ответили.
Предыдущий "слив" информации о сторонниках Навального, которые собирались выйти на митинги, обернулся для многих из них неприятными последствиями. Так, к примеру, профсоюз московского метрополитена сообщал, что были уволены десятки сотрудников, чьи данные фигурировали в базе.
IT-отдел команды Навального признал ошибку
После поста grumpysugar о новых утечках с сайта "Умного голосования" на портале Habr появился отчет IT-отдела команды Навального. Признавая уязвимость своей инфраструктуры, соратники российского оппозиционера писали, что устранили все ошибки и рассказали о мерах, принятых для того, чтобы "минимизировать риски повторения подобных инцидентов".
Одновременно с этим IT-отдел команды Навального отметил, что на их работу негативно повлияло преследование Фонда борьбы с коррупцией и штабов Навального, связанное с признанием ФБК экстремистской организацией и последующим запретом на деятельность. "Нам пришлось расстаться со всем штатом и некоторыми волонтерами, которые работали над проектами, - констатируют соратники Навального. - Мы в очередной раз строим команду практически с нуля, нам заново нужно организовывать работу с волонтерами, и нам не хватает технической экспертизы".
"Мы признаем ошибку с публичной доступностью внутреннего сервиса, - пишут представители IT-отдела. - Мы установили ее причины и исправили ее, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности. Мы очень надеемся на вашу поддержку и постараемся заслужить ваше доверие вновь".
"Закон против ФБК": что грозит соратникам Навального?
03:52
This browser does not support the video element.
Смотрите также:
Навальный и Фонд борьбы с коррупцией: "Дворец для Путина", "Чайка" и другие расследования
Расследования ФБК Алексея Навального могли бы помочь российским властям в борьбе с коррупцией. Но пока они предпочитают бороться с создателем фонда. Галерея DW - о резонансных разоблачениях ФБК.
Фото: FBK
Навальный и его Фонд борьбы с коррупцией
Объектами расследований созданного Алексеем Навальным Фонда борьбы с коррупцией (ФБК) становятся российские депутаты, члены правительства и доверенные лица президента РФ Владимира Путина. А с 2021 года - и сам президент. Резонансные фильмы-разоблачения ФБК об украденных миллиардах, незаконных сделках, дворцах и яхтах высокопоставленных чиновников и их семей привлекают внимание миллионов россиян.
Фото: picture-alliance/AP Photo/P. Golovkin
"Дворец для Путина. История самой большой взятки"
19 января 2021 года ФБК выпустил расследование о дворце на побережье Черного моря, который, как утверждают авторы, принадлежит президенту России Владимиру Путину. Дворец, стоимость которого оценивается в 100 млрд рублей, строится и содержится за счет госкомпаний "Роснефть" и "Транснефть", возглавляемых двумя ближайшими друзьями Путина - Игорем Сечиным и Николаем Токаревым.
Фото: Navalny Life youtube channel/AP Photo/picture alliance
Серия расследований в регионах России
В августе 2020 года Навальный начал публиковать серию расследований о региональных политиках - членах партии "Единая Россия", которые, по его данным, обогащались на бюджетные деньги. Целью Навального было при этом не допустить их переизбрания в региональные парламенты в единый день голосования 13 сентября. Перед отравлением "Новичком" он успел снять две части этой серии - в Новосибирске и Томске.
Фото: picture alliance/RIA Novosti
Богатая мама московского лидера единороссов
В июле 2019 года ФБК обнаружил у родственников секретаря московского отделения "Единой России" Андрея Метельского недвижимость за границей и в Москве, а также активы на сумму, превышающую 5,7 млрд рублей. По данным ФБК, активы записаны на мать депутата - Эльдибитту Метельскую, на его сына Андрея.
Фото: Reuters/E. Korniyenko
Кто правит в Карачаево-Черкессии
21 февраля 2019 года ФБК опубликовал материалы о коррупции в руководстве Карачаево-Черкесии, подробно останавливаясь на одном из местных кланов - Каитовых. Расследователи, к примеру, выяснили, что расположенным в Черкесске особняком, стоимость которого они оценили в 1 миллиард рублей, владеет 17-летний Ансар Каитов. Его многочисленные родственники - силовики и чиновники.
Фото: navalny.com
Как живут цари госкорпораций
Фигурантами совместного расследования ФБК с Insider стали главы "Роснефти", "Газпрома", "Транснефти" и "Ростеха". Они, утверждается в материале ФБК от 12 октября 2018 года, владеют недвижимостью на сотни миллионов рублей, при этом все имущество "было приобретено на деньги из госбюджета, а своими постами они обязаны давнему знакомству с Владимиром Путиным".
Фото: Reuters/Sergei Karpukhin
Глава Пенсионного фонда. Миллиардер
Глава Пенсионного фонда РФ Антон Дроздов - миллиардер, уверены авторы расследования ФБК от 30 августа 2018 года. По данным фонда, в общей сложности Дроздов и его семья владеют недвижимостью на сумму почти миллиард рублей. В ФБК выяснили, что одна лишь дача тещи Дроздова на Рублевке оценивается в 400 млн рублей, а на соседнем участке находится особняк бизнесмена Бориса Ротенберга.
Фото: navalny.com
Кто объедает Росгвардию: дуэль Навального и Золотова
Новый и единственный поставщик продуктов питания для Росгвардии завышает цены в 2-3 раза, говорится в расследовании фонда Навального, опубликованном 23 августа 2018 года. По мнению ФБК, бенифициаром этой схемы может быть Медведев или люди из его окружения. Глава Росгвардии Виктор Золотов обвинил Навального в клевете и вызвал его на дуэль.
Фото: Youtube/Росгвардия
Квартира мамы чиновника
Мать спикера Госдумы Вячеслава Володина владеет элитной недвижимостью в Москве и 10 компаниями с "миллиардными оборотами", утверждается в расследовании ФБК от 16 августа 2018 года. Авторы предполагают, что 82-летняя Лидия Барабанова - фиктивная собственница, а на самом деле "все принадлежит самому Володину, и он коррупционер". "Все соответствующие заявления отправим", - говорится в заявлении ФБК.
Фото: navalny.com
Домогающийся депутат. Психопат. Коррупционер
Подарок к 8 марта: после скандала вокруг депутата Госдумы Леонида Слуцкого, обвиненного в сексуальных домогательствах, ФБК опубликовал информацию о его имуществе и обвинил его в коррупции. У депутата с зарплатой в 450 тыс. рублей в месяц нашлись три элитных автомобиля и дом жилплощадью 800 кв.м на Рублевке. По данным ФБК, на одни лишь штрафы ГАИ у Слуцкого должно уходить в год около 40% доходов.
Фото: picture-alliance/dpa/TASS/M. Japaridze
"Рыбкагейт": яхты, олигархи, девушки из эскорт-услуг
Новый фильм ФБК, вышедший 8 февраля 2018 г., посвящен одному из замов Медведева - Сергею Приходько. Источником данных стал аккаунт в Instagram девушки из эскорта Насти Рыбки, побывавшей в путешествии по Норвегии с Приходько и олигархом Олегом Дерипаской на яхте миллиардера. Роскомнадзор внес страницу с фильмом на YouTube в список запрещенных сайтов, потребовав от СМИ удалить фото и видео из него.
Фото: Instagram.com/nastya_rybka.ru
Сын Пескова: золотой ребенок бриллиантового папы
Герой расследования, опубликованного 17 августа 2017 года, - сын пресс-секретаря Путина. По данным ФБК, Николай Чоулз-Песков, отсидевший в британской тюрьме за грабеж, живет в Москве жизнью миллионера: феррари, частные самолеты, конный спорт. При этом он не имеет ни работы, ни даже среднего образования. "Это история об успехе. В том формате, как он возможен сейчас в РФ", - говорится в публикации.
Фото: YouTube/navalny.com
Картель "повара Путина"
Расследование в отношении Евгения Пригожина, которого называют "поваром Путина", появилось 19 мая 2017 года. В нем утверждается, что Пригожин, инициировав картельный сговор и договорившись с чиновниками Минобороны, получил 23 млрд рублей из оборонзаказа, не менее трети из которых были похищены. С 2016 года Пригожин находится под санкциями США - как "спонсор и агент высших должностных лиц РФ".
Фото: Imago/ITAR-TASS/M. Metzel
"Он вам не Димон"
Появившийся 2 марта фильм "Он вам не Димон" - крупнейшее расследование ФБК в 2017 году. Премьер РФ Медведев - один из создателей масштабных коррупционных схем, утверждается в фильме. "Мы нашли все резиденции в РФ и за границей, отыскали все виноградники и неуловимые яхты и установили, где и кто на них плавал", - говорят авторы. После фильма по всей РФ прошли массовые антикоррупционные протесты.
Фото: dimon.navalny.com
"Чайка" - первое расследование ФБК в форме документального фильма
Расследование "Чайка" о финансовых махинациях и криминальных связях сыновей генерального прокурора Юрия Чайки, опубликованное Фондом борьбы с коррупцией 1 декабря 2015 года, стало первой резонансной работой ФБК в форме документального фильма. За сутки на портале YouTube его посмотрели более полумиллиона зрителей. Фильм был признан одним из победителей международного кинофестиваля "Артдокфест".
