Команда оппозиционного политика Алексея Навального признала факт существования уязвимости на сайте проекта "Умного голосования" и сообщила, что устранила ее "в первые же минуты" после того, как получила о ней информацию. Часть данных зарегистрированных пользователей стала доступна сторонним лицам, которые могли отследить их почтовые адреса, однако скачать базу адресов было невозможно, утверждается в сообщении.
"Мы эскалировали проблему, устранили ее в первые же минуты после обнаружения и отправили пользователю ответным письмом благодарность и отчет о произошедшем", — отметили сторонники Навального.
"Мы признаем ошибку с публичной доступностью внутреннего сервиса. Мы установили ее причины и исправили ее, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности", — говорится в сообщении.
Об обнаружении уязвимости на сайте "Умного голосования" накануне сообщил пользователь сайта "Хабр" с ником "grumpysugar". Он отметил, что "мало разбирается в информационной безопасности" и смог обнаружить ошибку благодаря опыту использования ПО Kubernetes, а также своей внимательности и удаче. Он утверждал, что обнаружил баг, который позволял увидеть адреса электронной почты людей, регистрирующихся на сайте.
По словам "grumpysugar", благодаря уязвимости ему удалось посмотреть журнал технической информации о сайте "Умного голосования" за последние 40 дней, в которой записывались почтовые адреса. Он предположил, что любой посторонний человек, который обнаружил бы эту уязвимость, мог свободно скачать адреса почт, которые попадали в рассылку команды Навального.
19 июля базу почтовых адресов, которые, по его словам, были адресами пользователей сайта "Умного голосования" опубликовал пользователь "Двача". Кроме того, о том, что на "Дваче" появился список электронных адресов пользователей из Москвы с сайту "Умного голосования", сообщалось в телеграм-канале "Утечки информации".
Ранее, в середине апреля, стало известно о взломе базы сторонников Алексея Навального, которые регистрировались на сайте акции протеста с требованием его освобождения из колонии. 31 мая члены команды политика выпустили расследование об этой утечке. В расследовании утверждалось, что команде политика удалось определить способ кражи данных, а также установить ее непосредственного исполнителя. Сопоставив IP-адреса похитителя почтовой базы с адресами, с которых сотрудники пользовались внутренней инфраструктурой, авторам расследования удалось установить, что этот адрес принадлежал Федору Горожанко, который сотрудничал с командой Навального в течение четырех лет и до увольнения занимался именно почтовыми рассылками.
В расследовании отмечалось, что Горожанко — "заметный питерский либеральный активист", который баллотировался в Законодательное собрание от партии "Яблоко". Отец Горожанко — известный в Петербурге и Псковской области журналист и общественный деятель, действующий депутат "Яблока". Также по данным расследователей, после взлома базы на счет Горожанко-младшего наличными через банкомат внесли более одного миллиона рублей.
Сам Горожанко опроверг свою причастность к взлому почтового сервера.