Ваш голос учтен. Команда Навального признала наличие уязвимости на сайте «Умного голосования», но подчеркнула, что она не позволяла скачать базу пользователей Спектр
Воскресенье, 22 декабря 2024
Сайт «Спектра» доступен в России через VPN

Ваш голос учтен. Команда Навального признала наличие уязвимости на сайте «Умного голосования», но подчеркнула, что она не позволяла скачать базу пользователей

Митинг в поддержку политзаключенных в Москве, 29 сентября 2019 г. Фото: страница Алексея Навального в фейсбуке Митинг в поддержку политзаключенных в Москве, 29 сентября 2019 г. Фото: страница Алексея Навального в фейсбуке

Команда оппозиционного политика Алексея Навального признала факт существования уязвимости на сайте проекта «Умного голосования» и сообщила, что устранила ее «в первые же минуты» после того, как получила о ней информацию. Часть данных зарегистрированных пользователей стала доступна сторонним лицам, которые могли отследить их почтовые адреса, однако скачать базу адресов было невозможно, утверждается в сообщении.

«Мы эскалировали проблему, устранили ее в первые же минуты после обнаружения и отправили пользователю ответным письмом благодарность и отчет о произошедшем», — отметили сторонники Навального.

«Мы признаем ошибку с публичной доступностью внутреннего сервиса. Мы установили ее причины и исправили ее, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности», — говорится в сообщении.

Об обнаружении уязвимости на сайте «Умного голосования» накануне сообщил пользователь сайта «Хабр» с ником «grumpysugar». Он отметил, что «мало разбирается в информационной безопасности» и смог обнаружить ошибку благодаря опыту использования ПО Kubernetes, а также своей внимательности и удаче. Он утверждал, что обнаружил баг, который позволял увидеть адреса электронной почты людей, регистрирующихся на сайте.

По словам «grumpysugar», благодаря уязвимости ему удалось посмотреть журнал технической информации о сайте «Умного голосования» за последние 40 дней, в которой записывались почтовые адреса. Он предположил, что любой посторонний человек, который обнаружил бы эту уязвимость, мог свободно скачать адреса почт, которые попадали в рассылку команды Навального.

19 июля базу почтовых адресов, которые, по его словам, были адресами пользователей сайта «Умного голосования» опубликовал пользователь «Двача». Кроме того, о том, что на «Дваче» появился список электронных адресов пользователей из Москвы с сайту «Умного голосования», сообщалось в телеграм-канале «Утечки информации».

Ранее, в середине апреля, стало известно о взломе базы сторонников Алексея Навального, которые регистрировались на сайте акции протеста с требованием его освобождения из колонии.  31 мая члены команды политика выпустили расследование об этой утечке. В расследовании утверждалось, что команде политика удалось определить способ кражи данных, а также установить ее непосредственного исполнителя. Сопоставив IP-адреса похитителя почтовой базы с адресами, с которых сотрудники пользовались внутренней инфраструктурой, авторам расследования удалось установить, что этот адрес принадлежал Федору Горожанко, который сотрудничал с командой Навального в течение четырех лет и до увольнения занимался именно почтовыми рассылками.

В расследовании отмечалось, что Горожанко — «заметный питерский либеральный активист», который баллотировался в Законодательное собрание от партии «Яблоко». Отец Горожанко — известный в Петербурге и Псковской области журналист и общественный деятель, действующий депутат «Яблока». Также по данным расследователей, после взлома базы на счет Горожанко-младшего наличными через банкомат внесли более одного миллиона рублей.

Сам Горожанко опроверг свою причастность к взлому почтового сервера.