Чем ближе сентябрьские выборы, тем чаще появляются сообщения об утечках из базы данных «Умного голосования». Чаще всего их распространяют прокремлевские телеграм-каналы и СМИ. Однако недавно помимо очередных новостей о «сливе» данных появилась
информация из другого источника, в которой говорилось о временной уязвимости IT-инфраструктуры в команде Навального . Что об этом известно?
Адреса электронных почт — в открытом доступе
В среду, 21 июля, пользователь grumpysugar в посте на веб-сайте Habr написал, что ему без особого труда удалось получить доступ к платформе управления сервисами команды Навального. Grumpysugar перешел в панель управления Kubernetes прямо из поисковой выдачи Google, где пытался найти домен rus.vote. Именно с этого домена соратники оппозиционера отправили пользователю Habr письмо с темой «Умное голосование».
Из-за ошибки разработчиков в открытом доступе оказались адреса электронной почты пользователей, которые регистрировались на сайте «Умного голосования». По словам grumpysugar, в день, когда он обнаружил проблему, ему были доступны данные за 40 дней. «Таким образом, можно было стащить хорошее количество почт и данных, когда и что именно на эту почту было выслано, — пишет пользователь Habr. — Сразу после того, как эта дыра была [мной] обнаружена, я написал ФБК, и доступ до инфраструктуры они починили».
На сайте Habr появился пост об уязвимости инфраструктуры IT-отдела команды Навального
Комментируя публикацию на Habr, IT-отдел команды Навального признал, что один из их программистов допустил ошибку, из-за которой стало возможно отслеживать регистрирующиеся почтовые адреса. Сотрудника отстранили от работы на время проверки, после чего разрешили ему вновь вернуться к работе, не обнаружив «злого умысла».
При этом айтишники из команды Навального настаивают, что уязвимость не давала возможности скачать базу «Умного голосования» с адресами зарегистрированных пользователей. «Уже почти каждую неделю в анонимных (и не очень) телеграм-каналах мы видим сообщения о якобы «утечке» адресов базы УМГ. Подобные выгрузки не имеют ничего общего с действительностью», — убеждают сотрудники IT-отдела.
В последней утечке — 191,5 тысячи адресов электронных почт
Злоумышленникам, если они воспользовались этой уязвимостью, могло быть достаточно получить базу электронных адресов, чтобы идентифицировать некоторых участников «Умного голосования». В апреле без малого 600 тысяч мейлов пользователей, зарегистрированных на сайте free.navalny.com, попали в открытый доступ. Позднее неизвестные предположительно совместили эти данные с одной из государственных баз. Таким образом в Сеть попала так называемая обогащенная база с личными данными 112 тысяч сторонников Навального: именами, фамилиями, адресами и местами работы.
Утечка с сервисов команды Навального, из-за которой grumpysugar решил публично рассказать об уязвимости «Умного голосования», якобы, произошла в июне, а в июле база данных с этого сайта была опубликована. Корреспондент DW, как и grumpysugar, обнаружил ее в одном из Telegram-каналов, которые публикуют «слитые» данные. Анализ информации с помощью языка программирования Python показал, что база содержит 191,5 тысячи адресов электронных почт. Только 14,5 тысячи из них совпали с апрельской утечкой с сайта free.navalny.com. Из них 12,4 тысячи человек можно идентифицировать, совместив их данные с обогащенной базой.
DW попыталась проверить, действительно ли последняя утечка — это база «Умного голосования». Корреспондент обратился к двум десяткам фигурантов этой базы с вопросом, регистрировались ли они на сайте проекта. Судя по полученным ответам, можно сделать вывод о том, что выложенные данные взяты не из базы участников «Умного голосования», хотя владельцы этих электронных адресов так или иначе подписаны на каналы Навального или его группы в соцсетях.
Что говорят владельцы «слитых» электронных адресов
«Ого, регистрировалась, — ответила одна пользовательница. — Насчет слитой базы не знала, но, похоже, она верная». Ее электронной почты в апрельской утечке с сайта free.navalny.com не было, поэтому нельзя сказать, что адрес просто скопировали в новую базу. С другой стороны, пользователь, электронная почта которого встречается в обеих утечках, рассказал DW, что на сайте «Умного голосования» он не регистрировался — только на сайте free.navalny.com. Кроме того, на указанную почту он получал рассылку от соратников оппозиционера.
Предыдущий «слив» данных сторонников Навального для многих из них обернулся увольнениями
«С этим мейлом я не регистрировалась в «Умном голосовании», но он есть в их (команды Навального — Ред.) рассылке, мне приходят на него новости», — рассказала еще одна девушка, к которой DW обратилась с вопросом. Почта другой девушки привязана и к «Умному голосованию», и к рассылке. Некоторые пользователи на запрос DW не ответили.
Предыдущий «слив» информации о сторонниках Навального, которые собирались выйти на митинги, обернулся для многих из них неприятными последствиями. Так, к примеру, профсоюз московского метрополитена сообщал, что были уволены десятки сотрудников, чьи данные фигурировали в базе.
IT-отдел команды Навального признал ошибку
После поста grumpysugar о новых утечках с сайта «Умного голосования» на портале Habr появился отчет IT-отдела команды Навального. Признавая уязвимость своей инфраструктуры, соратники российского оппозиционера писали, что устранили все ошибки и рассказали о мерах, принятых для того, чтобы «минимизировать риски повторения подобных инцидентов».
Одновременно с этим IT-отдел команды Навального отметил, что на их работу негативно повлияло преследование Фонда борьбы с коррупцией и штабов Навального, связанное с признанием ФБК экстремистской организацией и последующим запретом на деятельность. «Нам пришлось расстаться со всем штатом и некоторыми волонтерами, которые работали над проектами, — констатируют соратники Навального. — Мы в очередной раз строим команду практически с нуля, нам заново нужно организовывать работу с волонтерами, и нам не хватает технической экспертизы».
«Мы признаем ошибку с публичной доступностью внутреннего сервиса, — пишут представители IT-отдела. — Мы установили ее причины и исправили ее, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности. Мы очень надеемся на вашу поддержку и постараемся заслужить ваше доверие вновь».