ФБК регулярно обвиняют в утечке данных «Умного голосования». Почему это происходит и при чём тут «Яндекс»
В штабе Навального* говорят, что и не обещали скрывать сторонников от властей, а специалисты спорят, могла ли утечка произойти через «Яндекс.Метрику».
В июне 2021 года на продажу выставили предполагаемую базу данных сторонников Навального, которые регистрировались на сайте «Умного голосования». Тогда в ФБК* признали проблему с безопасностью и сообщили об её устранении, но не подтвердили, что утечка была масштабной.
В августе в соцсетях обратили внимание на новую проблему — на сайте «Умного голосования» обнаружили интеграцию «Яндекс.Метрики» с включённым сервисом «вебвизор», который сохраняет все действия пользователя на сайте. TJ рассказывает, в чём суть конфликта, причём тут «Яндекс» и что отвечают на это в ФБК*.
В сеть попали базы данных «умного голосования» и сторонников Навального, к ним начала приходить полиция
18 августа стало известно о том, что к людям из «слитых баз» сторонников Навального начала приходить полиция. Как именно силовики получили данные — до сих пор точно неизвестно. Полицейские задавали вопросы о том, регистрировались ли люди на сайте «Умного голосования», оставляли ли свои персональные данные и переводили ли деньги — вероятно, чтобы потом использовать это против ФБК*.
Судя по всему, причиной стала одна из утечек баз ФБК*, хотя в штабе Навального* говорили о «минимальных пересечениях» с данными, попавшими в сеть. По одной из версий, как минимум в июне данные могли попасть в сеть из-за ошибки в конфигурации доменного адреса.
Как выяснил один из пользователей «Хабра», любой желающий мог попасть в веб-панель для доступа до инфраструктуры Kubernetes на протяжении 10 дней. Через неё можно было получить доступ к логам данных, включая все почты и содержимое сообщений, а также доступы к ботам, паролям для соцсетей проектов организации и не только.
После того, как автор обратился к ФБК*, уязвимые места закрыли. За это время данные, вероятно, и успели попасть в сеть. Силовики до сих пор приходят к тем, чьи адреса оказались в базе — счёт идёт на сотни тысяч человек.
Скриншот из телеграм-канала @dataleak
О последствиях для тех, кто поддерживал «Умное голосование» и оставил информацию о себе на сайте, теперь можно только гадать. С 2019 года физических лиц, поддерживающих иноагентов, могут самих признать иноагентами. Иноагенты-физлица должны отчитываться в Минюст каждые полгода обо всех своих расходах и доходах, не могут занимать государственные должности, а если не отчитаться вовремя, то можно попасть в тюрьму на срок до пять лет.
Но ФБК* признали не только иноагентом, а ещё и экстремистской организацией. И из-за этого ситуация может стать более угрожающей: за финансовую поддержку или участие в экстремистской организации предусмотрена уголовная ответственность. Пострадать могут даже тех, кто поддерживал ФБК* до внесения в реестр — правда, силовикам придётся доказать, что они заранее знали о спонсировании экстремистов.
Специалисты по кибербезопасности считают, что сайт УМГ до сих пор уязвим
Несмотря на утечки весной 2021 года, в ФБК* до сих пор закрыли не все уязвимости, считают исследователи. 19 августа IT-специалист Дмитрий Зворыкин указал главе ФБК* Леониду Волкову в твиттере на то, что властям даже не нужно ничего взламывать, ведь все данные «Умного голосования» передаются в «Яндекс».
После этого директор компании ITSOFT Игорь Тарасов опубликовал на «Хабре» второй материал, в котором подробно разобрал ситуацию и подтвердил утверждения Зворыкина. Выяснилось, что на сайте «Умного голосования» подключена «Яндекс.Метрика» вместе с сервисом «Вебвизор».
Это позволяет владельцам сайта получать аналитику о посещаемости, но в то же время все данные проходят через «Яндекс». При этом «Вебвизор» передаёт ещё и все данные текстовых полей, включая адреса электронных почт, которые вводили пользователи.
Не все специалисты посчитали использование «Яндекс.Метрики» опасным для пользователей. Доцент МФТИ и научный сотрудник ВШЭ Александр Рубцов в твиттере отметил, что «Яндекс» не может физически запоминать все введённые данные на всех сайтах — для этого используют файлы «куки», которые хранятся у самих пользователей.
При этом технически через «Метрику» всё же было возможно получить данные о сторонниках «Умного голосования», но это не имеет особого смысла, посчитал Рубцов. По его мнению, куда проще было бы делать это иначе: например, по данным о донатах или через электронную почту, которая сама по себе не является безопасным источником коммуникации.
В разговоре с TJ представители «Яндекса» отвергли «любые предположения» об утечке данных через «Метрику»
«Яндекс.Метрика» и «Вебвизор» — инструменты маркетинговой аналитики, которые используют сотни тысяч сайтов в России и за ее границами. Все наши партнёры могут самостоятельно установить «Метрику» на свой сайт, чтобы эффективнее анализировать и продвигать свои ресурсы. При этом подчеркнём, что безопасность данных наших пользователей и партнеров подтверждена международной сертификацией и соответствует мировым стандартам информационной безопасности.
Использование «Вебвизора» требует отдельной настройки со стороны владельца сайта. Более того, каждый партнер может настроить Вебвизор так, чтобы не записывать содержимое конкретных полей. Мы рекомендуем пользоваться этими настройками и отключать запись особо чувствительной информации (например, ФИО, адреса электронной почты, номера телефона).
Подтверждаем, что несанкционированного доступа к информации счётчика Метрики «Умного голосования» не было.
В июне 2021 года ФБК* закрыл возможность присылать пожертвования и отменил все подписки после признания экстремистской организацией. В августе систему перезапустили, сделав акцент на её безопасности.
Переводить деньги на нашу работу через этот сайт абсолютно безопасно. Мы придумали систему, благодаря которой ни ваш банк, ни российские власти не смогут узнать, кому именно вы жертвуете деньги.
После этого IT-специалист Владислав Здольников, ранее работавший с командой Навального, обнаружил, что при пожертвованиях в пользу ФБК* банки видят получателя платежа, несмотря на обещания о безопасности оплаты напрямую с карты.
После этого штаб Навального* индивидуально отменил платежи, и всё же скрыл упоминание получателя в банковской выписке, а также убрал с сайта «Яндекс.Метрику». Но на этом проблемы с безопасностью данных не закончились.
23 августа Игорь Тарасов опубликовал третий материал на «Хабре» по поводу «Умного голосования». Он обнаружил уязвимость в стороннем API, которое используют на сайте — оказалось, что у него не выключен режим отладки, а фреймворк Django установлен в устаревшей версии. Тарасов применил публично доступный эксплоит, получил доступ к базе данных, но на этом остановился, хотя мог получить контроль над всей системой.
В ФБК* сначала отрицали проблемы, а теперь говорят, что не обещали приватности
На фоне новостей о первых утечках команда Навального утверждала, что видит «минимальные пересечения с базой». Разработчики подтвердили наличие уязвимости, но по их словам, она не позволяла получить полный доступ к информации.
Анализируя подобные «базы», мы видим крайне низкое пересечение с нашей реальной базой. Имея доступ к ней, злоумышленники могли бы выложить не только почту, но и фактический адрес, указанный на сайте. Ни из каких «логов» вытащить это было нельзя.
Такой же позиции Леонид Волков продолжил придерживаться и в августе. Он называл утечки данных «враньём полицаев», а ситуацию с «Яндекс.Метрикой» сначала объяснил использованием «геокодера».
22 августа Волков ответил сразу всем критикам ФБК* «по существу» и выпустил «манифест про информационную безопасность». В первом же пункте он заявил, что команда Навального никогда не планировала скрывать своих сторонников от власти и даже считает это вредным.
По словам Волкова, в последние годы ФБК* и сторонники Навального и так несколько раз отдавали государству большие массивы личных данных. Например, когда собирали подписи на РОИ через «Госуслуги» или сдавали подписки за кандидатов в местные избиркомы, а также собирали деньги через российские банки.
Не стоит, никогда не стояла и не может стоять задача «сделать так, чтобы у Путина в руках не оказалось списков сторонников Навального». Такая постановка задачи начисто лишена смысла.
Он также отметил, что алгоритмы соцсетей могут моментально вычислить сторонников политика по публикациям расследований и не только. При этом не меньше половины сторонников используют почту mail.ru, а 3/4 делятся политическим контентом во «ВКонтакте» и «Одноклассниках». По мнению Волкова, попавшим в базы данных людям не грозит никакой опасности, так как визиты полицейских — «психическая атака».
Поэтому-то любые разговоры про то, что «а вот тут у вас дырочка, через которую, теоретически, можно представить, как в таком-то сценарии кто-то у вас что-то скачает» являются непродуктивными и непрофессиональными.
Волков пояснил, что нет смысла тратить ресурсы на информацию, которую можно получить другими путями. По его мнению, рассуждения об уязвимости данных лишь вредят движению: если ФБК* уйдёт в «криптоподполье», то сама ограничит себе аудиторию.
Путин очень хочет отрезать нас от массовой аудитории, сделать наше движение маргинальным, лишить нас связи с миллионами сторонников — но, по сути, и доморощенные эксперты по информационной безопасности призывают нас буквально к тому же самому. Надеть пресловутые шапочки из фольги, и в полной безопасности ползти в сторону ближайшего кладбища. Нет уж, простите, но этого не будет.
По словам главы ФБК* единственной защитой от преследований, напротив, является «публичность и массовость». И если 5-10 миллионов россиян открыто заявляют о политических взглядах, то будут в большей безопасности, чем несколько десятков тысяч ушедших в анонимное «подполье». Волков подчеркнул, что команда не забывает об информационной безопасности, но относится к ней «рационально».
Бывший IT-консультант ФБК* Вячеслав Здольников раскритиковал манифест. Он отметил, что Волков так и не упомянул ситуацию с удалением «Яндекс.Метрики» и написал текст без конкретики. У Здольникова возникло несколько вопросов: например, почему ФБК* сразу не говорило о том, что не может обеспечить безопасность данных сторонников, зачем передавал данные «Яндексу» и почему Волков не продумывал вариант с запретом организации заранее.
Специалист также усомнился в том, что средства оперативно-розыскных мероприятий у провайдеров способны составить списки посетителей сайта «Умного голосования» по «одному клику», как писал Волков. По мнению Здольникова, СОРМ на самом деле нормально не работают.
Непрофессионально не отнимать доступ к логам рассылки у уволенного несколько лет назад сотрудника. Непрофессионально держать админку кубера общедоступной. Непрофессионально передавать все вводимые сторонниками данные в Яндекс.
*Государственные органы признали организацию экстремистской, поэтому мы обязаны давать указание на то, что её деятельность запрещена в РФ
#умноеголосование #навальный