ФБК расследует утечку базы сторонников Навального. «Медуза» спросила экспертов, как это могло произойти и какими могут быть последствия
В ночь на 16 апреля стало известно об утечке базы данных с электронными адресами пользователей, зарегистрировавшихся на сайте «Свободу Навальному» — на нем регистрируются те, кто готов участвовать во всероссийской акции протеста против тюремного заключения политика. В Фонде борьбы с коррупцией Алексея Навального подтвердили подлинность утекших данных и принесли свои извинения, заявив при этом, что «самая большая подлость», которую могут сделать обладатели утекшей базы, — «отправить вам неприятное письмо». Но эксперты по информационной безопасности предупреждают, что последствия могут быть куда серьезнее — от банального фишинга с целью кражи данных или денег до полной деанонимизации пользователей и составления базы сторонников Навального.
О подготовке массового митинга за освобождение Алексея Навального его сторонники объявили 23 марта. На этот раз они заранее поставили планку по возможному количеству участников, объявив, что всероссийский митинг состоится, когда наберется 500 тысяч готовых выйти на улицы людей. Для этой акции был создан специальный сайт, на котором готовые протестовать регистрировались, оставляя свой e-mail, а счетчик на сайте показывал число таких регистраций. На момент подготовки статьи он показывал 441 380 человек.
В ночь на 16 апреля пользователи, зарегистрировавшиеся на сайте «Свободу Навальному», начали получать от неизвестных письма, к которым был прикреплен файл с большим перечнем электронных адресов. Организовавшие рассылку злоумышленники утверждали, что в прикрепленном файле содержится база с имейлами тех, кто зарегистрировался на сайте free.navalny.com.
«Для тех, кто сомневается, помимо адреса почты мы добавили время вашей регистрации и ее подтверждения. Это поможет вспомнить момент, когда вы отдали свои данные в руки лузеров», — говорилось в письме.
В общей сложности в базе содержится около 529 тысяч электронных адресов. Журналисты «Открытых медиа», проанализировавшие перечень, обнаружили в нем в том числе электронные адреса на доменах государственных органов, в частности, департамента аккредитации Управления пресс-службы и информации президента России, пресс-служб МВД, «Единой России», Федеральной налоговой службы, а также правительства Чечни.
Правда, обнаруженные адреса госорганов не были подтверждены отправителями — это значит, что эти имейлы на сайте «Свободу Навальному» могли оставить не их владельцы, а кто-то другой. Хакеры в своей рассылке утверждали, что около 70 процентов электронных адресов, оставленных на сайте «Свободу Навальному», — боты.
В Фонде борьбы с коррупцией, который организует уличную акцию в поддержку Алексея Навального, утечку подтвердили, принесли извинения и заявили, что уже проводят расследование. «Сейчас в интернете появилась база электронных почт сайта free.navalny.com. Она соответствует действительности, в отличие от ранее выданных фейков. Это произошло сейчас, когда до конца кампании осталось 70 тысяч подписей и каждое согласие на митинг нам гораздо тяжелее собирать», — рассказал директор ФБК Иван Жданов.
Он подчеркнул, что в утекшей базе содержатся исключительно электронные адреса — без фамилий, имен или каких-либо иных данных. «Самая большая подлость, которую могут сделать злоумышленники, — отправить вам неприятное письмо, которое, вероятно, попадет в спам», — заявил Жданов. По его словам, для рассылки ФБК использует сервис Mailgun — и именно хранившаяся в нем база имейлов попала в сеть.
«Сейчас мы проводим расследование и запрашиваем информацию у Mailgun о работе с базой», — написал Жданов и пообещал, что результаты этого расследования станут публичными.
Как это произошло?
«Я на 99% уверен, что она [база] сделана из журнала рассылки почтового сервиса Mailgun, которым пользуется ФБК для отправки писем о верификации и подтверждения регистрации. Собственно, в логах Mailgun содержится ровно та информация, которая была опубликована», — написал в своем телеграм-канале экс-сотрудник ФБК и создатель сервиса Red Shield VPN Владислав Здольников.
Он представил несколько версий того, как могла произойти утечка, но наиболее вероятной назвал действия «инсайдера в ФБК, который имел доступ к админке Mailgun и, соответственно, логам рассылки». Кроме этого, утечка могла произойти вследствие взлома аккаунта ФБК в Mailgun или же всего сервиса Mailgun, а также действий «инсайдера в сервисе Mailgun, у которого купили логи», считает Здольников.
Однако мнения специалистов в области кибербезопасности по этому вопросу разделились. «Потенциальных путей утечки базы данных из ФБК несколько. Наиболее вероятный — классический прием взлома сайта путем внедрения в запрос произвольного SQL-кода. В частности, внедрение SQL открывает доступ к выполнению любого запроса к базе данных: чтение, запись, изменение или удаление значений таблицы», — рассказал «Медузе» Алексей Кубарев, руководитель группы развития бизнеса Центра продуктов Solar Dozor в компании «Ростелеком». По его словам, еще одна возможная причина утечки — плохая защита сервера, однако намеренный слив информации тоже возможен, говорит Кубарев.
С ним согласен и эксперт по информационной безопасности Алексей Лукацкий: «Я вполне допускаю, что на сайте мог стоять скрипт, который все вводимые данные передал куда-то еще, — это очень популярная техника, например, хакеры активно пользуются ею при атаке на интернет-магазины для того, чтобы собирать данные банковских карт, которые вводят покупатели. Если эта версия окажется верной, то это в чистом виде проблема ФБК — тут уже ни на инсайдеров, ни на внешние сервисы ответственность переложить нельзя».
Есть и еще одна версия произошедшего. «Стоит учитывать, что у ФБК постоянно изымают серверы и другую технику и это тоже как-то могло сыграть свою роль. Мы же не знаем, кто получает доступ к данным на этих серверах во время следственных мероприятий и куда вообще потом девается эта техника — возвращается ли она в ФБК после следственных мероприятий или идет на утилизацию. Поэтому возможна и такая версия…» — отмечает Лукацкий.
Что дальше?
Последствием утечки может стать рассылка фишинговых писем по базе утекших контактов, говорит Алексей Кубарев. «Например, мошенники могут под видом представителей ФБК попросить перевести денежное пожертвование в поддержку предстоящих политических кампаний», — говорит он.
Но ключевая проблема в том, что эти имейлы могут быть сопоставлены с другими утекшими базами, размещенными в даркнете, добавляет Кубарев. «Если e-mail пользователя из утекшей базы использовался в других сервисах, он с большой вероятностью уже был скомпрометирован. В этом случае злоумышленники, сопоставив несколько баз, могут привязать к адресу электронной почты персональные данные владельца, которые позволят однозначно идентифицировать его. Варианты дальнейшего использования самые широкие — от более таргетированного фишинга до шантажа», — говорит Кубарев.
«Если утечка была сделана „патриотично настроенными“ хакерами, то эта информация, вполне вероятно, может использоваться при обогащении каких-то иных источников данных для деанонимизации людей, дальнейшего формирования списка сторонников Навального и выявления каких-то иных действий, которые эти люди выполняют в интернете», — говорит Лукацкий.
Однако даже если за взломом стояли обычные злоумышленники, то пользователям из утекшей базы не стоит расслабляться. «Если это просто какие-то хакеры поиграли или целенаправленно слили данные, то наиболее вероятным последствием будем фишинг с целью кражи у людей логинов и паролей. В этой ситуации для хакеров не имеет значения, что это именно база сторонников Навального, для них это просто еще один источник данных для своих действий», — говорит Лукацкий.
При этом, по мнению Владислава Здольникова, утечка однозначно была организована по политическим причинам. «Не снимая ответственности за случившееся с ФБК, хочется напомнить, что заказчики и бенефициары взлома и публикации сидят в Кремле», — написал он.
Мария Коломыченко