Описан механизм утечки данных «Умного голосования» Навального
Фото: РИА Новости
Пользователь портала «Хабр» описал механизм утечки данных пользователей, зарегистрировавшихся в проекте «Умное голосование» Алексея Навального и ФБК (включен Минюстом в реестр организаций, выполняющих функции иностранного агента, и признан экстремистской организацией).
Суть дыры, как выяснил юзер, заключалась в ошибке в конфигурации домена в сервисе дашборда, благодаря которой в поисковике Google удалось найти открытую веб-панель для доступа к IT-инфраструктуре ФБК. Он обнаружил, что из-за лазейки, которая была доступна больше десяти дней, можно было «стащить хорошее количество почт [пользователей], и данных, когда и что именно на эту почту было выслано».
«Как и другие данные — доступы до внутренних сервисов; доступы до баз данных; ключи от сервисов Amazon, Google, ботов Telegram; пароли от Facebook и Instagram — ключ от mailgun оказался рабочим и часто используемым», — написал пользователь.
По его словам, после находки и изучения дыры он сообщил об этом в ФБК.
Материал прокомментировал интернет-эксперт Владислав Здольников, консультировавший ФБК по техническим вопросам. «С мая 2012 по декабрь 2013 я администрировал их инфраструктуру один. Тогда утекло 0 байт данных. Было понятно, что без Алексея будет плохо. Но чтобы настолько блевотно — это надо постараться», — сказал он.
Здольников в течение семи лет сотрудничал с ФБК, консультируя организацию по вопросам IT. В 2019 году он отказался от сотрудничества, обвинив фонд в кумовстве на фоне выборов в Мосгордуму и неорганизованности технических процессов. По словам эксперта, всю работу в интересах фонда он выполнял практически бесплатно.