' style='fill:%23c4c4c4;fill-opacity:1'%3E%3Cpath d='M93.28-57.4h2.52l-6.33 11.74h-2.6l6.41-11.75zM98.5-57.4h2.52L94.7-45.67h-2.6l6.4-11.75zM103.78-57.4h2.52l-6.33 11.74h-2.6l6.4-11.75z'/%3E%3C/a%3E%3C/svg%3E)
В сеть слили базу email-адресов возможных участников митинга «Свободу Навальному!». Можно ли по ней вычислить реальные имена?
Неизвестные слили в сеть данные граждан, которые на сайте «Свободу Навальному!» оставили информацию, заявив, что собираются стать участниками акции в поддержку осуждённого на 2,5 года оппозиционера, нажав на кнопку «Я выйду на митинг». База, которая подверглась взлому и последующей утечке, является подлинной. Об этом сообщил Иван Жданов, директор Фонда борьбы с коррупцией*. Обсудили произошедшее с основателем сервиса разведки утечек данных DLBI Ашотом Оганесяном.
Здравствуйте! Какие именно данные оказались в открытом доступе? Я правильно понимаю, что это только электронная почта?
Здравствуйте! Да, там адреса электронных почт и дата регистрации, дата подтверждения, то есть когда человек подтвердил, что это действительно его адрес электронной почты.
Главный вопрос ― можно ли, действительно, полностью идентифицировать человека по адресу электронной почты?
Так впрямую, конечно, по адресу электронной почты идентифицировать нельзя, однако если эту базу использовать вместе с другими доступными базами, которыми пользуются службы безопасности различных компаний и банков, и человек этот адрес использовал неоднократно, то есть это его какой-то личный адрес, предположим, не дай бог, рабочий, то, безусловно, это очень легко идентифицируется и человеку можно поставить соответствующую метку, что он, например, собирался выйти на митинг.
Как вообще могла произойти утечка, какой площадкой пользовались в Фонде борьбы с коррупцией, насколько она была защищена? Для вас, как для специалиста, насколько это предсказуемо, насколько предсказуем этот взлом?
Насчет предсказуемо не знаю, я не знаком, на мой взгляд, это все довольно полупрофессионально делается, специалистов там никаких не привлекается, поэтому произошло и произошло. А как произошло ― есть два варианта, собственно, как всегда. Первый вариант ― это инсайдер, то есть это их сотрудник какой-то или активист, который, соответственно, либо где-то опубликовал данные, логин и пароль для сервиса, который они использовали в качестве рассылок, да, то есть использовался сторонний сервис, я не помню его название, то ли MailChimp, то ли их какой-то конкурент.
Либо, соответственно, этот сотрудник сам это слил, а еще один вариант, соответственно, ― этот сервис для рассылки был взломан, скорее всего, просто подобран пароль, что вряд ли, потому что сервисы подобного уровня ― это все-таки довольно известные, у них стоит защита от так называемого брутфорса, да, от перебора паролей, поэтому в такое верится с трудом. Более того, там легкие пароли тоже не установишь, все такие сервисы проверяют их на то, чтобы это не были простые последовательности. И поэтому, скорее всего, это все-таки внутренний инсайдер, либо добровольно это сделавший, либо по глупости.
Как теперь быть? Если ты хочешь онлайн поддержать, допустим, Алексея Навального, да, подтвердить, что ты придешь на митинг, но в то же время ты опасаешься за безопасность своих личных данных.
Например, использовать одноразовую почту, адрес, который вы планируете использовать в качестве адреса, которым вы подтверждаете, что вы пойдете на митинг или на какое-то еще собрание, просто этот адрес больше нигде никогда не использовать, ни до, ни после, потому что, как мы знаем, интернет помнит всё, все утечки, которые когда-либо произошли, агрегируются, продаются на разных серых и черных рынках, и потом все эти базы будут использованы в том числе для деанонимизации или для какого-то скоринга, необязательно банковского, но, скажем, при приеме на работу и тому подобное.
Скажите, а есть ли смысл вообще опасаться, если настолько наши данные открыты, о том, что ты посещаешь тот или иной сайт, при желании все равно можно получить информацию, тогда к чему вообще эта анонимность?
Получить информацию можно. Это не вопрос, вопрос в том, что это дополнительные некие маркеры, как я уже сказал, при приеме на работу или при выдаче кредита. То есть, например, если компания, в которую вы собираетесь устраиваться, не разделяет ваших политических взглядов или вообще вашего отношения или, например, даже если разделяет, но не допускает риски, связанные с тем, что, например, вас задержат, какие-нибудь юридические последствия будут, вообще рынок большой, им проще такого человека не взять на работу. Соответственно, вот этот маркер того, что, условно говоря, вы «неблагонадежный», возьмется из таких баз. Здесь не вопрос, что ваше имя узнают, именно узнают ваши некие поведенческие факторы, то есть что вы склонны к тому-то и тому-то.
*По решению Минюста России ФБК включен в реестр НКО, выполняющих функции иностранного агента
