Разборы
Артём Мазанов

В сети пишут о «сливах» из «Умного голосования». Команда Навального видит «крайне низкие пересечения» с базой. Главное

Проблемы в безопасности проекта всё же есть, но, как заявляют авторы проекта, они устраняют найденные ошибки.

Леонид Волков Фрагмент из видео команды Навального об «Умном голосовании» 

Этим летом в рунете несколько раз появлялась информация о «дырах» в инфраструктуре команды Навального, которая перед выборами в Госдуму продвигает «Умное голосование». Стратегия подразумевает объединение протестных голосов и поддержку самого сильного противника кандидата от «Единой России». На сайте проекта просят оставить электронную почту и адрес регистрации (включая номер дома), после чего дождаться, когда организаторы отправят фамилию кандидата, за которого предлагается проголосовать.

Благодаря последней из жалоб стало известно о возможности посмотреть почты регистрирующихся на сайте «Умного голосования». IT-отдел команды Навального признал эту ошибку и рассказал об её устранении, но вместе с тем заявил, что ранние «сливы баз» практически не соответствуют действительности.

1 июня — объявление о продаже «базы данных»

Объявление о продаже «постоянно пополняемой базы данных подписчиков» «Умного голосования» из Москвы и Московской области появилось на заблокированном в России форуме. В качестве доказательства продавец поделился скриншотом с адресами участников «Умного голосования». В тексте сообщения говорилось, что в базе содержатся «IP-адрес, электронная почта и место постоянной регистрация. По запросу за дополнительную плату возможно дополнение базы полем с датой регистрации».

Директор Фонда борьбы с коррупцией Иван Жданов заявил «Медузе», что организация не хранит IP-адреса участников проекта. Он также обратил внимание, что на скриншоте из объявления в одном случае вместо адреса регистрации указан номер телефона. «У нас нельзя так его [номер телефона] записать вместо адреса», — уточнил он.

В подлинности этой базы также усомнился автор телеграм-канала «Утечки информации» и основатель сервиса разведки утечек данных DLBI Ашот Оганесян.

19 июля — адреса электронной почты из московской «базы»

На «Дваче» опубликовали файл с адресами электронной почты, которые, как заявлялось, относятся к подписчикам «Умного голосования» из Москвы. Издания вроде «Известий» и Mash сообщали сразу о 448 тысячах «слитых» адресов.

О том, что база подлинная, заявил юрист и член Общественной палаты Илья Ремесло, которого сторонник Навального Леонид Волков называл «провокатором, занимающимся только и исключительно борьбой с ФБК, осваивая на этом огромные бюджеты».

Данные подлинные — я сам для прикола регистрировался на сайте «УГ» и без труда нашёл свои данные. Просто интересно, кого они будут обвинять в этот раз?

Илья Ремесло

Автор телеграм-канала «Утечки информации» и основатель сервиса разведки утечек данных DeviceLock DLP Ашот Оганесян рассказал, что в этом массиве около 191 тысячи строк. «Видно, что эта база содержит неподтверждённые адреса, то есть они попали в базу без подтверждения со стороны их владельцев», — уточнил он.

20 июля журналисты Sota обратили внимание, что ссылка на «Двач» стала выдавать ошибку 404.

21 июля — адреса подписчиков «Умного голосования» из Петербурга

На «Дваче» опубликовали и второй файл с адресами электронной почты якобы из базы «Умного голосования» — на этот раз якобы с адресами жителей Петербурга. СМИ насчитали более 96 тысяч адресов.

«Как и в случае с московским списком, подтвердить, что эти адреса действительно получены из базы „УГ“, мы не можем», — написали в «Утечках информации».

21 июля — версия утечки данных с сайта «Умного голосования»

Пользователь «Хабра» опубликовал материал под названием «Как ФБК сами слили все данные оппозиции в открытый доступ», где описал возможный механизм «слива». По его версии, причиной утечки стала ошибка в конфигурации домена в сервисе дашборда: благодаря ей можно было найти в поисковике открытую веб-панель для доступа к IT-инфраструктуре сайта. Автор смог посмотреть журнал технической информации, куда записывались почтовые адреса регистрирующихся, за последние 40 дней.

По словам пользователя «Хабра», он «мало разбирается в информационной безопасности» и смог обнаружить ошибку только благодаря опыту использования ПО Kubernetes, своей внимательности и удаче. Он отметил, что уязвимость появилась как минимум за 10 дней до обнаружения.

Автор материала рассказал, что написал команде Навального сразу же, как нашёл «дыру» — 24 июня. «Они даже отписались о том, что приняли меры и сменили ключи в конфигмапах. Эта статья с ними не согласована», — добавил он.

21-22 июля — объяснения команды Навального об уязвимостях

Пользователь «Хабра» в конце поста выложил ответ ему от команды Навального. Её представители подтвердили уязвимость и поблагодарили за обнаружение. Ответственного за это инженера отстранили от работы, расценив его действия «как грубейшую ошибку и непрофессионализм». Работу сервиса приостанавливали, чтобы перестроить инфраструктуру.

Полный ответ команды Навального пользователю «Хабра»

22 июля команда Навального впервые подробно прокомментировала ситуацию. Организаторы «Умного голосования» опубликовали пост там же, на «Хабре», подтвердив, что ошибку допустили во время работ по инфраструктуре: дашборд, который разработчики используют для отладки приложений, стал доступен по одному из известных почтовых доменов проекта.

Команда Навального подтвердила, что в логах действительно можно было отследить регистрирующиеся адреса, но подчеркнула: «Обратиться напрямую к базе и скачать адреса, не отобразившиеся в логах (включая все старые адреса, которые регистрировались до появления уязвимости), не представлялось возможным».

По словам IT-специалистов, они пересмотрели политику безопасности и предприняли несколько шагов, благодаря которым подобная проблема повториться не должна. Команда Навального в том числе:

  • ограничила доступ к «секретам», использующимся в продакшне;
  • перевела проекты с использованием сервиса для автоматизации электронной почты Mailgun на sending keys, чтобы невозможно было смотреть логи;
  • перевела внутренние сервисы на немаршрутизируемые адреса, изолировав их от внешнего интернета на сетевом уровне;
  • обязала всех сотрудников пользоваться двухфакторной аутентификацией;
  • ввела дополнительное ревью при выпуске проекта — со стороны как девопс-инженеров, так и разработчиков.

Мы признаём ошибку с публичной доступностью внутреннего сервиса. Мы установили ее причины и исправили её, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности.

команда Навального

IT-отдел команды Навального предположил, что «после допущенных ошибок» в обществе «резко упал» уровень доверия к ним. Но говоря о возможных «сливах» баз данных, организаторы «Умного голосования» подчеркнули, что такие сообщения «не имеют ничего общего с действительностью».

Уже почти каждую неделю в анонимных (и не очень) телеграм-каналах мы видим сообщения о якобы «утечке» адресов базы УМГ. Подобные выгрузки не имеют ничего общего с действительностью.

Да, мы понимаем, что часть email-адресов, введённых на сайте «Умного голосования», также была похищена злоумышленником через утекший ключ Mailgun, но тем не менее, анализируя подобные «базы», мы видим крайне низкое пересечение с нашей реальной базой. Имея доступ к ней, злоумышленники могли бы выложить не только почту, но и фактический адрес, указанный на сайте. Ни из каких «логов» вытащить это было нельзя.

команда Навального

#умноеголосование #уязвимости #навальный #цепочкасобытий #безопасность