В прошлое воскресенье праймериз ПАРНАС были досрочно приостановлены. Произошло это после того, как на сайте «Волна перемен» (именно на нем проводились праймериз) была опубликована новость «Идет второй день голосования на праймериз», в которой содержалась ссылка на текстовый файл. В этом файле неожиданно оказались открытые данные о всех избирателях, участвовавших в праймериз ПАРНАС, — ФИО, телефоны, логины и пароли, которые люди использовали для регистрации на сайте «Волна перемен» и участия в выборах несистемной оппозиции. На момент приостановки праймериз на сайте проголосовали более 7 тыс. человек, данные которых «утекли» в открытый доступ.
Эту утечку заметили посетители форума «Двач» (площадка для анонимного общения) и выяснили, что некоторые пароли, опубликованные на сайте ПАРНАС, подходили не только для входа на ресурс «Волна перемен», но и к другим личным аккаунтам пострадавших (вероятно, некоторые избиратели использовали для регистрации на сайте ПАРНАС те же самые логины и пароли, что и для личных аккаунтов). В качестве подтверждения «двачеры» выложили скриншоты с фрагментами сообщений из личной почты и соцсетей избирателей.
Форум для анонимного общения «Двач» (именуемый имиджбордом) не в первый раз оказывается в центре скандала с утечками информации — ранее анонимы, к примеру, сообща выискивали камеры наблюдения, которые были недостаточно защищены от взломов, и выкладывали в общий доступ самые компрометирующие видеоролики, которые им удалось обнаружить.
Шквал идиотских писем
После того как утечка с сайта была обнаружена, на зарегистрированные почты администратор «Волны перемен» отправил сообщения с рекомендацией сменить пароль, но, как позже заявили те же анонимы, письма с предупреждениями в основном «упали» в спам.
В разговоре с «Газетой.Ru» одна из избирательниц Ольга (фамилия собеседницы известна редакции), которая подтвердила факт взлома личной почты, рассказала, что обнаружила действия мошенников, когда от ее имени начали рассылаться письма, которых она не писала.
«От моего имени всем тем, с кем я общалась по почте, было отправлено абсолютно идиотское письмо. Других слов я просто не нахожу», — отметила пострадавшая.
Один из анонимных пользователей в треде похвастался тем, что направил деньги, найденные в «угнанном» электронном кошельке, на помощь детям Донбасса. «Политач» (раздел форума «Двач») тут же окрестил сообщение пользователя «победой анонов» (на сленге «аноним»), после чего в треде начали появляться аналогичные сообщения.
Аноны взалымают кошельки и донатят парням из ДНР. Спасибо @parnasparty и @MKasyanov за предоставленную возможность. pic.twitter.com/WA074Jc6fY
— Christurion Porcus (@Zhitnipalzhi) 30 мая 2016 г.
«Газете.Ru» удалось связаться с владельцем кошелька PayPal Павлом, который среди прочих оказался на скриншотах анонимов (в разговоре с «Газетой.Ru» подтвердил, что «слитые» телефон и другие личные данные принадлежат ему). По словам владельца, факт взлома действительно был, но информацию о совершенных транзакциях он не подтвердил.
Кроме того, в тредах появился скриншот, на котором с нескольких украденных кошельков якобы были переведены суммы в фонд «Измени одну жизнь».
Представитель фонда рассказала «Газете.Ru», что необычных всплесков пожертвований замечено не было. В посте со скриншотом утверждается, что на счет организации «Измени одну жизнь» 30 мая якобы была переведена сумма в $40. На сайте фонда, где все пожертвования отображаются вне зависимости от того, захотел автор перевода упомянуть свое имя или нет, информация о транзакции этой суммы отсутствует.
Слив данных и угон кошельков — многоуровневая проблема
По мнению руководителя международно-правовой практики «Чаадаев, Хейфец и партнеры» Анастасии Асташкевич, в данном случае очевидна многоуровневая проблема.
«Сам слив данных является отдельным преступлением, поскольку публикация конфиденциальной информации является нарушением закона «О персональных данных», — отметила Асташкевич. Кроме того, за использование уже скомпрометированных данных в корыстных целях предусмотрена уголовная ответственность.
К примеру, статья 187 Уголовного кодекса о «неправомерном обороте средств платежей» (запрет использования карты электронных систем для неправомерного получения денежных средств) предусматривает наказание в виде срока до шести лет и штрафа до 300 тыс. руб., а в случае если преступление совершалось в составе группы — до семи лет со штрафом до 1 млн руб.
При этом несколько избирателей, данные которых были скомпрометированы, отметили, что не планируют обращаться по факту взлома в правоохранительные органы, так как не считают это необходимым.
Одна из пострадавших отметила, что в случае, если кто-то решит бороться со злоумышленниками централизованно, она поддержит инициативу, но в частном порядке на жалобы у нее просто нет времени.
Единственное, что сделали все пострадавшие, с которыми удалось связаться, — смена всех паролей там, где аккаунты с большей долей вероятности были взломаны.
Оппозиционный адвокат Вадим Прохоров сомневается, что ответственных за кражу данных пользователей «Волны перемен» накажут. Если подобные уголовные дела буксуют, то это, по мнению юриста, может служить косвенным доказательством связи злоумышленников с властью.
Каких-то конкретных жалоб от пользователей «Волны» в ПАРНАС пока не поступало, говорит зампред партии Константин Мерзликин.
Он считает, что сведения о краже из кошельков размещены в провокационных целях, «скриншоты можно любые сделать», и к этой информации надо относиться с недоверием. «Если появятся конкретные эпизоды несанкционированного входа на ресурсы пользователей, тогда это станет предметом уголовного разбирательства. Но нужно установить причинно-следственные связи в рамках официального следствия, а уголовные дела возможны, только если появятся жалобы пострадавших», — указывает политик.
При этом спецслужбы в силе провести «деанонимизацию» пользователей, которые могут быть причастны к действиям, за совершение которых предусмотрена уголовная ответственность. Сотовые операторы, а также соцсети, форумы и любые сайты для общения, доступные всем пользователям интернета, обязаны внедрять систему технических средств для обеспечения функций оперативно-разыскных мероприятий (СОРМ), что дает возможность силовым структурам при получении официального судебного решения получать доступ к IP-адресам авторов постов, которые утверждают, что совершили преступление.
«Козни спецслужб» или «криворукие программисты»
Версии реальных виновников утечки в оппозиции приводятся диаметрально противоположные: «козни Кремля» или техническая некомпетентность самих парнасовцев.
На второй версии настаивают соратники Алексея Навального. Так, программистов ПАРНАС Леонид Волков (признан в РФ иностранным агентом и внесен в реестр экстремистов) назвал «криворукими».
По мнению Навального, никаких козней спецслужб и взлома не было, «это чушь полная». А руководство ПАРНАС в свое время «по факту захватило создание технической базы праймериз». Навальный упомянул версию, что начальство партии могло само слить данные, чтобы отказаться от праймериз.
Ранее между Касьяновым и Навальным произошел конфликт, так как лидер ПАРНАС отказался уйти из-за закрепленной части федерального списка партии на выборах в Госдуму. Навальный и его сторонники предлагали главе партии пойти на праймериз и участвовать в дебатах.
Заместитель Касьянова уверяет: версия, что пароли участников праймериз хранились в открытом виде на сайте, несостоятельна. По его словам, это не позволяла «конструкция сайта», и логины с паролями можно было получить только незаконным образом, возможно, «физически сняв» информацию с сервера. Либо украв пароли к серверу, где на короткий период данные хранились в незашифрованном виде. А «слитая» таблица с личными данными в оперативной памяти не хранится, «очевидно, что информация была обработана», уверен Мерзликин.
Критики ПАРНАС предлагали также версию «крота» в партии, однако Мерзликин уверяет: партийные программисты профессионалы и им руководство доверяет.
Пока точный виновник утечки не установлен, ясно только одно: скандал со сливом данных нанес тяжелейший ущерб идеям «облачной демократии» и выборам через интернет.
По словам главы ПАРНАС Михаила Касьянова (признан в РФ иностранным агентом), утечка произошла по вине мошенников.
«Злоумышленники взломали кодовую защиту доступа к конфиденциальной информации системы голосования на сайте «Волна Перемен». Технологический уровень проникновения к уже зашифрованной информации очень высокий», — говорится в сообщении Касьянова в фейсбуке.
Позднее Касьянов заявил, что «несанкционированный доступ к серверу мог произойти только в рамках специальной операции властей с согласия или по принуждению российского провайдера».
Как защититься от взлома
В случае с утечкой данных избирателей очевидно, что большинство пользователей интернета считают вполне уместным использовать один и тот же пароль как к аккаунтам, содержащим строго конфиденциальную информацию, так и для сторонних ресурсов.
Самый надежный способ защититься от массового взлома сразу нескольких аккаунтов — использовать разные пароли, причем не различные вариации Qwerty123. В этом могут помочь различные генераторы паролей, которые создают максимально сложные комбинации цифр и букв, которые впоследствии можно использовать для сомнительных сайтов.
Кроме того, нелишним будет настроить двухфакторную аутентификацию на всех аккаунтах, где это возможно. Такой способ защиты позволяет задействовать сразу два принципа: «что пользователь знает» и «что у пользователя есть».
Проще говоря, это двойная защита, для прохождения которой нужно не только знать пароль от аккаунта, но и иметь в распоряжении, например, привязанный к аккаунту телефон.
Такой способ перестраховки актуален не только для социальных сетей и менеджеров, но и для аккаунтов в игровых системах, таких как Steam.