В воскресенье, 29 мая, в сеть утекли личные данные участников праймериз партии ПАРНАС. В итоге голосование было прекращено, а пользователи «Двача» взломали принадлежащие избирателям почтовые ящики и аккаунты в соцсетях. В открытый доступ попали их переписка и фотографии, порой весьма откровенные. Руководство партии уже обвинило во взломе хакеров из ФСБ, но в сети полагают, что причиной скандала послужил непрофессионализм администраторов сайта ПАРНАС. «Лента.ру» выяснила, кто на самом деле виноват в громком сливе избирателей.
На сайте ПАРНАС были опубликованы личные данные граждан, проголосовавших на праймериз по отбору кандидатов от партии в Госдуму. Файл содержал имена избирателей, их даты рождения, IP-адреса и адреса электронной почты, а также номера телефонов. Кроме того, в базе данных обнаружились логины и пароли от аккаунтов на сайте «Волна перемен», через который и осуществлялось голосование. Благодаря этому все желающие легко могли узнать, кого поддержал тот или иной избиратель. В итоге праймериз были объявлены несостоявшимися.
Вскоре база была удалена, а представители партии отметили, что на сайте появилась ссылка на документ с «резервной копией результатов голосования». Затем заместитель председателя ПАРНАС Константин Мерзликин заявил, что данные оказались в сети из-за хакерской атаки.
Это позже подтвердил и глава ПАРНАС Михаил Касьянов. «Злоумышленники взломали кодовую защиту доступа к конфиденциальной информации системы голосования на сайте «Волна перемен». Технологический уровень проникновения к уже зашифрованной информации очень высокий», — сообщил он на своей странице в Facebook.
Позже Касьянов и зампредседателя ПАРНАС Илья Яшин обвинили во взломе специалистов из ФСБ. Причем, по мнению Яшина, силовикам помогал «крот» в рядах партии, имевший доступ к сайту.
Несмотря на все усилия оппозиционеров, база данных широко разошлась по сети и стала предметом тщательного изучения блогеров. Одним из первых свое мнение высказал специалист по кибербезопасности и предприниматель Александр Литреев. В своем блоге он удивился беспечности IT-специалистов ПАРНАС, хранивших пароли в незашифрованном виде.
Кроме того, Литреев раскритиковал заявления Касьянова и члена ПАРНАС Кирилла Хрусталева, причастного к работе партийного сайта. Первый в своем посте использовал странные термины вроде «кодовая защита доступа», а второй утверждал, что злоумышленники получили физический доступ к серверу и смогли перехватить всю информацию в открытом виде до ее внесения в общую базу данных.
На современных серверах данные в оперативной памяти защищены, а их перехват невозможен из-за интернет-протокола HTTPS. Кроме того, большинство сайтов специальным образом шифруют (хешируют) пароли еще до передачи на сервер. Литреев сомневается и в возможности перехвата пароля сотрудника технической поддержки сайта, ведь большинство интернет-провайдеров используют для работы защищенную внутреннюю сеть.
Таким образом, можно предположить, что утечка базы данных в открытый доступ — следствие сразу нескольких ошибок администраторов. Сначала они не обеспечили должную защиту паролей до передачи на сервер, а затем по ошибке выложили всю информацию в сеть.
По мнению блогера Романа Голованова, недоработки сайта «Волна перемен» могли привести к накрутке голосов у некоторых кандидатов. В качестве аргумента он использовал поиск по документам во «ВКонтакте» и несколько популярных в сети «смс-приемников» — баз мобильных номеров, с которых можно получить сообщения с кодами подтверждения.
До голосования блогер ради эксперимента зарегистрировался на сайте с помощью кода подтверждения с украинского номера и случайного адреса электронной почты, а вместо требуемого селфи с российским паспортом загрузил случайный скан документа, найденный в соцсети. При этом во время использования самых популярных «смс-приемников» Голованов отметил, что выдаваемые ими российские номера уже были зарегистрированы в системе. Значит, их могли использовать сами избиратели для накрутки голосов.
Затем Голованов создал несколько ботов с несуществующими именами и после начала праймериз неоднократно проголосовал за разных кандидатов с одного аккаунта, просто меняя IP-адрес в своем Tor-браузере.
Вечером 29 мая архив с избирателями был опубликован на анонимном имиджборде «Двач». Двачеры сразу выяснили, что у многих проголосовавших указанные при регистрации на «Волне перемен» логины и пароли якобы подходят не только к их электронной почте, но и к аккаунтам в соцсетях, облачным сервисам, а также электронным кошелькам на PayPal и «Яндекс.Деньги». Правда, зампред ПАРНАС Мерзликин в беседе с «Лентой.ру» отметил, что на «Дваче» база была представлена в виде таблицы с паролями, а на задействованных в праймериз ресурсах информация хранилась в другом формате.
Один из пользователей «Двача» объяснил «Ленте.ру»: таблицы были созданы анонимами, чтобы отмечать, у кого из избирателей одинаковые пароли к профилям на «Волне перемен» и аккаунтам на сторонних сервисах. По его словам, скриншоты взломов на протяжении нескольких дней публиковались более чем в десяти ветках обсуждения имиджборда. В итоге в сеть якобы попала рабочая и личная переписка многих избирателей, нередко интимного характера. Одного из участников праймериз анонимы даже уличили в пристрастии к детской порнографии.
У многих пользователей якобы нашли интимные фото и сканы документов, а также просмотрели список их заказов в онлайн-магазинах, где у некоторых обнаружились секс-игрушки.
Кроме того, двачеры утверждали, что массово переводили деньги с электронных кошельков избирателей в благотворительные фонды. По заверениям анонимов, часть средств была направлена бойцам самопровозглашенной ДНР.
Один из пользователей рассказал, что написал излишне доверчивому избирателю-пенсионеру письмо с советом не вестись на обман в сети, когда якобы взломал его почту и обнаружил там множество сообщений от интернет-мошенников. Кроме того, анонимы выяснили, что у большинства пользователей предупреждения ПАРНАС о взломе и рекомендации сменить пароль попали в спам.
Двачеры подтвердили и теорию блогера Голованова о накрутке голосов. По словам пользователей, некоторые участвовавшие в праймериз профили действительно были зарегистрированы с одного и того же IP-адреса в Ижевске. У всех этих аккаунтов якобы был установлен пароль Rizhik2016.
По словам Ильи Яшина, программистов и администраторов сайта в основном набирала соратница Касьянова Наталья Пелевина, которая и должна нести ответственность за утечку базы данных. Ранее она стала героиней скандального фильма НТВ «Касьянов день», что привело к распаду демократической коалиции. Сама Пелевина считает обвинения Яшина необоснованными.
Кирилл Хрусталев в свою очередь отметил, что провал «Волны перемен» связан с некомпетентностью Касьянова в области интернета. За разработку и поддержку сайта отвечал всего один программист, вынужденный одновременно заниматься обеспечением безопасности, администрированием ресурса и исправлением багов. Дизайн же и вовсе делали работники на аутсорсинге, для которых верстка партийного сайта была лишь источником дополнительного заработка. «Надо понимать, что задачи масштабные, давно пора формировать группу технических специалистов, но понимание этого на высшем уровне управления партией просто отсутствует», — подытоживает Хрусталев.
Алексей Навальный в своем блоге подчеркнул, что причиной слива данных стала ошибка администратора. По его словам, админ должен был приложить хеш-данные, по которым можно анализировать голосование, но нельзя понять, кто за кого голосовал. Вместо этого был приложен файл, содержавший полные нешифрованные данные о всех избирателях, включая их пароли. Оппозиционер также призвал руководство ПАРНАС уйти в отставку. «Это позор, дискредитация и вредительство», — подытожил он.