Команда оппозиционного политика Алексея Навального признала факт существования уязвимости на сайте проекта «Умного голосования» и сообщила, что устранила ее «в первые же минуты» после того, как получила о ней информацию. Часть данных зарегистрированных пользователей стала доступна сторонним лицам, которые могли отследить их почтовые адреса, однако скачать базу адресов было невозможно, утверждается в сообщении.

«Мы эскалировали проблему, устранили ее в первые же минуты после обнаружения и отправили пользователю ответным письмом благодарность и отчет о произошедшем», — отметили сторонники Навального.

«Мы признаем ошибку с публичной доступностью внутреннего сервиса. Мы установили ее причины и исправили ее, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности», — говорится в сообщении.

Последствия слива. Россияне сообщили об увольнениях с работы после регистрации на сайте митинга в поддержку Навального

Об обнаружении уязвимости на сайте «Умного голосования» накануне сообщил пользователь сайта «Хабр» с ником «grumpysugar». Он отметил, что «мало разбирается в информационной безопасности» и смог обнаружить ошибку благодаря опыту использования ПО Kubernetes, а также своей внимательности и удаче. Он утверждал, что обнаружил баг, который позволял увидеть адреса электронной почты людей, регистрирующихся на сайте.

По словам «grumpysugar», благодаря уязвимости ему удалось посмотреть журнал технической информации о сайте «Умного голосования» за последние 40 дней, в которой записывались почтовые адреса. Он предположил, что любой посторонний человек, который обнаружил бы эту уязвимость, мог свободно скачать адреса почт, которые попадали в рассылку команды Навального.

Достали из-под земли. Уволенные из-за утечки базы сторонников Навального бывшие сотрудники московского метро потребовали в суде признать свои увольнения незаконными и выплатить компенсации

19 июля базу почтовых адресов, которые, по его словам, были адресами пользователей сайта «Умного голосования» опубликовал пользователь «Двача». Кроме того, о том, что на «Дваче» появился список электронных адресов пользователей из Москвы с сайту «Умного голосования», сообщалось в телеграм-канале «Утечки информации».

Ранее, в середине апреля, стало известно о взломе базы сторонников Алексея Навального, которые регистрировались на сайте акции протеста с требованием его освобождения из колонии.  31 мая члены команды политика выпустили расследование об этой утечке. В расследовании утверждалось, что команде политика удалось определить способ кражи данных, а также установить ее непосредственного исполнителя. Сопоставив IP-адреса похитителя почтовой базы с адресами, с которых сотрудники пользовались внутренней инфраструктурой, авторам расследования удалось установить, что этот адрес принадлежал Федору Горожанко, который сотрудничал с командой Навального в течение четырех лет и до увольнения занимался именно почтовыми рассылками.

«Если это все, что мы можем…». Почему акция протеста в поддержку Навального прошла в Москве совсем не так, как ожидалось

В расследовании отмечалось, что Горожанко — «заметный питерский либеральный активист», который баллотировался в Законодательное собрание от партии «Яблоко». Отец Горожанко — известный в Петербурге и Псковской области журналист и общественный деятель, действующий депутат «Яблока». Также по данным расследователей, после взлома базы на счет Горожанко-младшего наличными через банкомат внесли более одного миллиона рублей.

Сам Горожанко опроверг свою причастность к взлому почтового сервера.

Базовый принцип. В команде Навального назвали имя бывшего сотрудника, которого подозревают в похищении базы адресов сторонников политика — сам он отрицает свою причастность