На сайте «Умного голосования» нашли уязвимость, позволявшую видеть почты регистрирующихся. Команда Навального заявила о ее устранении

В сообщении говорится, что в конце июня пользователь «Хабра» под никнеймом grumpysugar связался с командой Навального и предупредил об обнаруженной уязвимости в их системе. «Мы эскалировали проблему, устранили ее в первые же минуты после обнаружения и отправили пользователю ответным письмом благодарность и отчет о произошедшем», — отметили сторонники Навального.

Накануне пользователь «Хабра» grumpysugar написал, что 24 июня он обнаружил «дыру в безопасности» инфраструктуры команды Навального. Пользователь отметил, что «мало разбирается в информационной безопасности» и смог обнаружить ошибку благодаря опыту использования ПО Kubernetes, а также своей внимательности и удачи.

По его словам, благодаря уязвимости ему удалось посмотреть журнал технической информации о сайте «Умного голосования» за последние 40 дней, в которой записывались почтовые адреса регистрирующихся пользователей. Он предположил, что любой посторонний человек, который обнаружил бы эту уязвимость, мог свободно скачать адреса почт, которые попадали в рассылку команды Навального.

Пользователь «Хабра» отметил, что эта уязвимость появилась как минимум за 10 дней до того, как он ее обнаружил, а также могла привести к утечке данных зарегистрировавшихся на сайте «Умного голосования». 

При этом команда Навального утверждает, что сообщения об утечке почт базы «Умного голосования» не соответствуют действительности. Сторонники политика отметили, что проанализировали данные из «слитых баз» и пришли к выводу, что они имеют «крайне низкое пересечение с реальной базой». В сообщении отмечается, что «обратиться напрямую к базе и скачать адреса <...> не представлялось возможным».

«Мы признаем ошибку с публичной доступностью внутреннего сервиса. Мы установили ее причины и исправили ее, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности», — подытожили в сообщении.

19 июля пользователь «Двача» опубликовал базу почт, которые, по его словам, были с сайта «Умного голосования». Кроме того, в телеграм-канале «Утечки информации» говорилось, что на «Дваче» появился список электронных адресов пользователей из Москвы с сайту «Умного голосования». В нем отмечается, что «некоторые пользователи форума (разумеется, анонимные) пишут, что нашли свои адреса в этой базе». 

В начале июня на одном из форумов в даркнете появлялось объявление о продаже «базы подписчиков „Умного голосования“» из Москвы и Московской области. Директор ФБК* Иван Жданов тогда сказал Дождю, что в объявлении имеются данные, которых не может быть в базе проекта. Основатель сервиса разведки утечек данных DLBI Ашот Оганесян заявлял, что сомневается в подлинности базы. 

16 апреля в открытом доступе обнаружили базу с адресами почт людей, зарегистрировавшихся на митинг «Свободу Навальному!». Соратники оппозиционера утверждали, что за взломом стоит бывший сотрудник Фонд борьбы с коррупцией* Федор Горожанко, который работал там в течение четырех лет и занимался рассылками. Сам Горожанко это отрицал. 

«Умное голосование» — проект команды Алексея Навального по поддержке наиболее сильных оппозиционных кандидатов. Подписчикам проекта перед выборами должны прислать кандидата по их округу, у которого, по мнению соратников Навального, наибольшие шансы победить противника из «Единой России». 

*По решению Минюста России ФБК включен в реестр НКО, выполняющих функции иностранного агента. Организация признана в России экстремистской, ее деятельность запрещена