{"id":860,"title":"\u041f\u043e\u043b\u0451\u0442 \u043a \u042e\u043f\u0438\u0442\u0435\u0440\u0443 \u0432 \u043d\u043e\u0432\u043e\u043c \u0440\u0435\u043b\u0438\u0437\u0435 \u0412\u0430\u043d\u0433\u0435\u043b\u0438\u0441\u0430. \u041a\u043e\u0434\u0437\u0438\u043c\u0430 \u0443\u0436\u0435 \u0437\u0430\u0446\u0435\u043d\u0438\u043b","url":"\/redirect?component=advertising&id=860&url=https:\/\/tjournal.ru\/umg\/450423-poslushat-novoe-kosmicheskaya-opera-ot-sozdatelya-saundtreka-k-begushchemu-po-lezviyu&placeBit=1&hash=d7cf24ebd26468490c3963a5f0d2007e10183cc7470e797c409220708a49a72a","isPaidAndBannersEnabled":false}
Разборы
Артём Мазанов

В сети пишут о «сливах» из «Умного голосования». Команда Навального видит «крайне низкие пересечения» с базой. Главное Статьи редакции

Проблемы в безопасности проекта всё же есть, но, как заявляют авторы проекта, они устраняют найденные ошибки.

Леонид Волков Фрагмент из видео команды Навального об «Умном голосовании» 

Этим летом в рунете несколько раз появлялась информация о «дырах» в инфраструктуре команды Навального, которая перед выборами в Госдуму продвигает «Умное голосование». Стратегия подразумевает объединение протестных голосов и поддержку самого сильного противника кандидата от «Единой России». На сайте проекта просят оставить электронную почту и адрес регистрации (включая номер дома), после чего дождаться, когда организаторы отправят фамилию кандидата, за которого предлагается проголосовать.

Благодаря последней из жалоб стало известно о возможности посмотреть почты регистрирующихся на сайте «Умного голосования». IT-отдел команды Навального признал эту ошибку и рассказал об её устранении, но вместе с тем заявил, что ранние «сливы баз» практически не соответствуют действительности.

1 июня — объявление о продаже «базы данных»

Объявление о продаже «постоянно пополняемой базы данных подписчиков» «Умного голосования» из Москвы и Московской области появилось на заблокированном в России форуме. В качестве доказательства продавец поделился скриншотом с адресами участников «Умного голосования». В тексте сообщения говорилось, что в базе содержатся «IP-адрес, электронная почта и место постоянной регистрация. По запросу за дополнительную плату возможно дополнение базы полем с датой регистрации».

Директор Фонда борьбы с коррупцией Иван Жданов заявил «Медузе», что организация не хранит IP-адреса участников проекта. Он также обратил внимание, что на скриншоте из объявления в одном случае вместо адреса регистрации указан номер телефона. «У нас нельзя так его [номер телефона] записать вместо адреса», — уточнил он.

В подлинности этой базы также усомнился автор телеграм-канала «Утечки информации» и основатель сервиса разведки утечек данных DLBI Ашот Оганесян.

19 июля — адреса электронной почты из московской «базы»

На «Дваче» опубликовали файл с адресами электронной почты, которые, как заявлялось, относятся к подписчикам «Умного голосования» из Москвы. Издания вроде «Известий» и Mash сообщали сразу о 448 тысячах «слитых» адресов.

О том, что база подлинная, заявил юрист и член Общественной палаты Илья Ремесло, которого сторонник Навального Леонид Волков называл «провокатором, занимающимся только и исключительно борьбой с ФБК, осваивая на этом огромные бюджеты».

Данные подлинные — я сам для прикола регистрировался на сайте «УГ» и без труда нашёл свои данные. Просто интересно, кого они будут обвинять в этот раз?

Илья Ремесло
юрист

Автор телеграм-канала «Утечки информации» и основатель сервиса разведки утечек данных DeviceLock DLP Ашот Оганесян рассказал, что в этом массиве около 191 тысячи строк. «Видно, что эта база содержит неподтверждённые адреса, то есть они попали в базу без подтверждения со стороны их владельцев», — уточнил он.

20 июля журналисты Sota обратили внимание, что ссылка на «Двач» стала выдавать ошибку 404.

21 июля — адреса подписчиков «Умного голосования» из Петербурга

На «Дваче» опубликовали и второй файл с адресами электронной почты якобы из базы «Умного голосования» — на этот раз якобы с адресами жителей Петербурга. СМИ насчитали более 96 тысяч адресов.

«Как и в случае с московским списком, подтвердить, что эти адреса действительно получены из базы „УГ“, мы не можем», — написали в «Утечках информации».

21 июля — версия утечки данных с сайта «Умного голосования»

Пользователь «Хабра» опубликовал материал под названием «Как ФБК сами слили все данные оппозиции в открытый доступ», где описал возможный механизм «слива». По его версии, причиной утечки стала ошибка в конфигурации домена в сервисе дашборда: благодаря ей можно было найти в поисковике открытую веб-панель для доступа к IT-инфраструктуре сайта. Автор смог посмотреть журнал технической информации, куда записывались почтовые адреса регистрирующихся, за последние 40 дней.

По словам пользователя «Хабра», он «мало разбирается в информационной безопасности» и смог обнаружить ошибку только благодаря опыту использования ПО Kubernetes, своей внимательности и удаче. Он отметил, что уязвимость появилась как минимум за 10 дней до обнаружения.

Автор материала рассказал, что написал команде Навального сразу же, как нашёл «дыру» — 24 июня. «Они даже отписались о том, что приняли меры и сменили ключи в конфигмапах. Эта статья с ними не согласована», — добавил он.

21-22 июля — объяснения команды Навального об уязвимостях

Пользователь «Хабра» в конце поста выложил ответ ему от команды Навального. Её представители подтвердили уязвимость и поблагодарили за обнаружение. Ответственного за это инженера отстранили от работы, расценив его действия «как грубейшую ошибку и непрофессионализм». Работу сервиса приостанавливали, чтобы перестроить инфраструктуру.

Полный ответ команды Навального пользователю «Хабра»

22 июля команда Навального впервые подробно прокомментировала ситуацию. Организаторы «Умного голосования» опубликовали пост там же, на «Хабре», подтвердив, что ошибку допустили во время работ по инфраструктуре: дашборд, который разработчики используют для отладки приложений, стал доступен по одному из известных почтовых доменов проекта.

Команда Навального подтвердила, что в логах действительно можно было отследить регистрирующиеся адреса, но подчеркнула: «Обратиться напрямую к базе и скачать адреса, не отобразившиеся в логах (включая все старые адреса, которые регистрировались до появления уязвимости), не представлялось возможным».

По словам IT-специалистов, они пересмотрели политику безопасности и предприняли несколько шагов, благодаря которым подобная проблема повториться не должна. Команда Навального в том числе:

  • ограничила доступ к «секретам», использующимся в продакшне;
  • перевела проекты с использованием сервиса для автоматизации электронной почты Mailgun на sending keys, чтобы невозможно было смотреть логи;
  • перевела внутренние сервисы на немаршрутизируемые адреса, изолировав их от внешнего интернета на сетевом уровне;
  • обязала всех сотрудников пользоваться двухфакторной аутентификацией;
  • ввела дополнительное ревью при выпуске проекта — со стороны как девопс-инженеров, так и разработчиков.

Мы признаём ошибку с публичной доступностью внутреннего сервиса. Мы установили ее причины и исправили её, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности.

команда Навального

IT-отдел команды Навального предположил, что «после допущенных ошибок» в обществе «резко упал» уровень доверия к ним. Но говоря о возможных «сливах» баз данных, организаторы «Умного голосования» подчеркнули, что такие сообщения «не имеют ничего общего с действительностью».

Уже почти каждую неделю в анонимных (и не очень) телеграм-каналах мы видим сообщения о якобы «утечке» адресов базы УМГ. Подобные выгрузки не имеют ничего общего с действительностью.

Да, мы понимаем, что часть email-адресов, введённых на сайте «Умного голосования», также была похищена злоумышленником через утекший ключ Mailgun, но тем не менее, анализируя подобные «базы», мы видим крайне низкое пересечение с нашей реальной базой. Имея доступ к ней, злоумышленники могли бы выложить не только почту, но и фактический адрес, указанный на сайте. Ни из каких «логов» вытащить это было нельзя.

команда Навального
{ "author_name": "Артём Мазанов", "author_type": "editor", "tags": ["\u0446\u0435\u043f\u043e\u0447\u043a\u0430\u0441\u043e\u0431\u044b\u0442\u0438\u0439","\u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438","\u0443\u043c\u043d\u043e\u0435\u0433\u043e\u043b\u043e\u0441\u043e\u0432\u0430\u043d\u0438\u0435","\u043d\u0430\u0432\u0430\u043b\u044c\u043d\u044b\u0439","\u0431\u0435\u0437\u043e\u043f\u0430\u0441\u043d\u043e\u0441\u0442\u044c"], "comments": 156, "likes": 64, "favorites": 22, "is_advertisement": false, "subsite_label": "analysis", "id": 413768, "is_wide": true, "is_ugc": false, "date": "Sat, 24 Jul 2021 20:09:59 +0300", "is_special": false }
0
156 комментариев
Популярные
По порядку
Написать комментарий...

Зачем на нем вообще регистрироваться и отправлять свои данные? Раньше, по-моему можно было спокойно в день выборов зайти и посмотреть, за кого советует проголосовать УГ в вашем округе.

30

На этот раз сайт будет заблокирован на момент появления рекомендаций с вероятностью 100%

20

Через впн зайти посмотреть разве нельзя будет? Безопаснее, чем свои данные кому-то отправлять.

7

А что будешь делать когда все популярные впн заблочат?

0

Ну уж точно не сливать свои данные товарищу майору через УГ. И я сомневаюсь, что власти РФ смогут все разом заблокировать. С телеграмом вон как мучались. ред.

8

Комментарий удален

Почему обыватели должны беспокоиться из-за проёбов Волкова и ко? Просите присылать адрес регистрации, будте добры обеспечить конфиденциальность данных или идите нахуй.

11

Комментарий удален по просьбе пользователя

3

Я не очень горю желанием, чтобы ко мне с утра пришла полиция (почему? да по качану, все равно время потратишь на разборки). Поэтому лучше хотя бы зарегать новую почту под это дело и настроить экспорт писем с нее на основной ящик 

3

Комментарий удален

А ты не клоун? У тебя наверное нет никаких обязательств: ипотеки, квартплаты, детей, родителей, поэтому ты можешь сыграть в лотерею задержат тебя сегодня или нет. Я не могу себе позволить такой роскоши, однако все же ходил на митинги, зарегался в УГ и так далее, просто надо действовать осторожнее. 

6

Ну терпи дальше, хуйле. Быть свободным человеком это  привилегия, которую могут себе позволить не все. Ты не можешь. ред.

–2

А ты как можешь, лол? 

5

я не работаю на государство, но если что мне скиллы и накопления позволяют работу в любой момент сменить, нет причин боятся и быть зависимым от кого-то разрешающего на него работать ред.

0

Работу или страну? 

2

страну вроде пока нет причин, тут не беларусь, хотя с таким количеством терпящих может и до того же деградируем ред.

–1

я не работаю на государство

А кем работаешь?

0

Чел, у нас жалких ссыкунов и клоунов большинство страны (я не исключение). Смелые чуваки - это заебись, но их не хватит для какого-то эффекта при голосовании. Нужны массы, а массы боязливы. 

5

Я что-то о смелости не понимаю, если уже для голосования нужно быть смелым. Вы только блядь прикиньте, люди боятся что к ним придут менты и выебут палкой за то что они зарегистрировались на сайте с рекомендациями.

–4

Комментарий удален

Ты с кем разговариваешь, мальчик, любитель с соломенными чучелами базарить?

–4

Комментарий удален

Оппозиция ужасно тупая. Все такие Анди на словах львы толстые, а на деле уже готовы свалить при первом руке за бугор. А у нас, у кого нет такой возможности, будет выбор лишь в ГУЛАГ.

Как-то не горю желанием. Учитывая, что это игра престолов, это игра элит. Мне свою жизнь сводить тяжко. А у этих мамкиных В значит Вендетта в жопе. Только в жизни все пулепробиваемы. На каждого найдут дело. 

Пока условия не созрели в этой стране м нужно это осознавать. Куча патриотов поддержат Путина, что уж там о араве силовиков, казаков, чиновников. 

Через поколение рано или поздно сменится. Ну хули. Ярмо на России. Нет фашистов, так сами друг друга другим. Этой проблеме сотни лет и я своими костями ее решать не буду. 

Вот такие Анди думают очень дохуя, что они смелые. Но когда паяльник к аналу приблизится, там вся жизнь померкнет. Интернет бойцы, фиктивная оппозиция. Нет условий для оппозиции. Слишком высок процент неадекватов в России, минимальная образованность
 

–3

)

1

Ну да, а че поделать. В текущих реалиях люди реально боятся, что к ним придут менты после этого. А если есть дети или работа в бюджетной организации, то можно ещё бояться, что опеку натравят или на работе проблемы будут. И команда Навального обязана это учитывать, нравится это тебе / мне / им или нет. 

1

Да, боятся быть уволенными в работы, в стране с медианной зарплатой в 370 евро, в момент кризиса.

0

Сильно сомневаюсь что они пойдут по всем, даже по тем кого слили со сбора на митинг вроде не ходили особо. А их, наверняка, меньше было. ред.

1

мудрый совет

1

И что товарищ майор сделает с ними?

0

Некоторые люди могут работать в ржд или другой какой-нибудь гос конторе. Если их с деанонят, у них на работе могут появиться проблемы, вплоть до увольнения.

1

Ну таким людям может и стоит быть аккуратнее, если они дорожат этой работой.

0

А зачем сливать?
Зарегай отдельное мыло, настрой с него пересылку и готово

0
Читать все 156 комментариев
null