Как известно, финал программы в конце апреля завершился скандалом, в результате чего итоги конкурса были аннулированы. Через месяц в эфире Первого канала был показан спецвыпуск шоу, по итогам которого победителями были признаны все участники финала.
Звонки и СМС
На первом этапе расследования эксперты Group-IB обнаружили две группы номеров, с которых осуществлялись накрутки голосов. По уточненным данным, суммарно с этих номеров поступило более 41 000 голосов за участника 07.
Среди звонков в пользу участника 07 была обнаружена группа номеров, следующих один за другим. Все они принадлежат региону Башкортостан и представляют собой списки идущих подряд телефонных номеров. Каждый список содержит до 360 номеров, всего 146 таких списков. В целом в накрутке задействовано 9 484 номера, с которых поступило 33 175 звонков за участника 07.
Вторую группу, используемую в накрутках, удалось выявить при анализе СМС.
В текст 8 216 СМС, помимо номера одного из участников конкурса, по ошибке исполнителей попала техническая информация, содержащая дополнительный номер и время отправления. Эта группа номеров также принадлежит одному оператору в Ленинградской области.
На втором этапе проверки специалисты Group-IB исключили из анализа обе группы, использовавшиеся для накрутки, и продолжили исследовать ход голосования. Далее специалисты компании разделили голоса, полученные через СМС и телефонные звонки (IVR), так как они имеют технические отличия и требуют разных подходов к анализу.
На максимальных скоростях
Детальное изучение голосования в финале (9 конкурсантов) и суперфинале (тройка лидеров) показало нехарактерное распределение частоты голосов по времени эфира. Внимание экспертов привлек резкий старт голосования за участника 07, сопровождавшийся высокой плотностью звонков и СМС с самого начала выступления. В финале, где из трех учеников один попадает в суперфинал, за участника 07 поступало до 300 голосов в секунду. У соперников этот показатель, в среднем, достигал 110 голосов в секунду.
В суперфинале за участника 07 – отдавали 250 голосов в секунду, у соперников – 170 (участник 06) и менее 100 (участник 02).
Отдельно специалистами было изучено голосование абонентов, отдавших по 20 и более голосов за своих фаворитов. Распределение таких голосов выходит за рамки статистической погрешности: у участника 07 таких абонентов было 2 078. «Максималисты» голосовали и за других конкурсантов: у одного было 39 таких поклонников, у другого 59, то есть примерно в 35 раз меньше, чем у участника 07.
В результате среднее количество всех голосов, отданных с одного телефона за участника 07, приближается к 8, при среднем значении по остальным участникам около 1,5. С 2015 года за все сезоны шоу «Голос» в России, включая взрослые и детский проекты, в среднем, данный показатель составлял 1,33. Подобный рекорд позволил участнику 07 суммарно набрать больше голосов, однако количество проголосовавших за него уникальных номеров по сравнению с его ближайшим соперником, занявшим второе место, было в 2 раза меньше в финале и почти в 6 раз меньше в суперфинале.
Как распределялись голоса по СМС
Доля IVR составила менее 10% в общем объеме голосов, поэтому основное исследование касалось СМС. Для дальнейшего выявления аномалий, специалисты Group-IB исключили пул «технических СМС» Ленобласти из анализа, однако учитывая, что данная накрутка была обнаружена благодаря техническому сбою, не исключено, что таких «пулов СМС» могло быть больше.
«Очищенный» СМС-трафик показывает значительное превышение среднего количества голосов с одного номера, отданных за участника 07.
Эта тенденция прослеживается, как в финале, так и в суперфинале. Если проанализировать СМС-трафик отдельно по каждому суперфиналисту, то основная доля голосов (63% у участника 02 и 60% у участника 06) приходится на тех, кто отправил по одному СМС, 12% и 14% - по два, 7% и 8% - по три. У участника 07 распределение идет фактически в обратном порядке: доля голосов, поступивших с номеров, отправивших по 20 СМС, составляет 70%, по 19 СМС - 5%, по два СМС - 1%.
Анализ финала идентичен: основная доля голосов (80% у участника 02 и 75% у участника 06) приходится на тех, кто отправил по одному СМС, 8% и 12% - по два, 4% и 5% - по три. У участника 07 снова преимущество за долей голосов, поступивших с номеров, отправивших по 20 СМС, (75%) по 19 СМС - 3%, по два СМС - 1%.
Необычное голосование регионов
Традиционно лидерами по активности голосования являются Москва и Санкт-Петербург. Однако на этот раз расстановка сил изменилась. Учитывая все типы голосов, отданных в рамках финала и суперфинала 6-го сезона шоу «Голос.Дети», топ-10 наиболее активно голосовавших регионов составили: Москва (71 000), Республика Башкортостан (35 000), Санкт-Петербург (29 000), Курская область (12 000), Республика Татарстан (7 000), по 6 000 голосов отдали Краснодарский край, Ростовская область и Ульяновская область, а также по 4 000 голосов – Воронеж и Самара.
В распределении по регионам видны отклонения в процентном соотношении голосов, отданных за участника 07. Особенно ярко это выражено в Башкирии - 97%, Курске - 96% и Ульяновской области - 95%.
Что выявил аудит и тесты на проникновение
Аудиторы Group-IB исследовали систему голосования с разных аспектов, включая архитектуру сети, настройки конфигурации устройств, административное распределение ролей в команде. Также на этапе аудита были протестированы разные сценарии и векторы атак: в ходе имитации действий атакующих, основной целью была проверка возможности модификации результатов голосования.
Комплексное исследование инфраструктуры, сайта и веб-приложения позволило выявить ряд характерных для современных веб-сервисов и сетей уязвимостей. Потенциально ими мог воспользоваться внешний злоумышленник, обладающий достаточно высокой квалификацией по взлому приложений и систем. Однако, как показал первый и последующие этапы анализа, этого не произошло.
Что показала криминалистика
Специалисты по компьютерной криминалистике исследовали 5 711 169 746 байт и более 30 000 000 строк в логах. Перед ними была поставлена задача выявить факты возможного изменения данных голосования со стороны авторизованных и неавторизованных пользователей, а также попытки умышленного внесения изменений в настройки, создающие условия для внешнего воздействия в целях изменения результатов голосования. Кроме того, на этом этапе необходимо было восстановить уничтоженные данные, если такие операции проводились, а также проверить анализируемые системы на наличие вредоносного кода или программных закладок.
В результате исследования серверов, сервисов и веб-сайта, представляющих собой систему учёта голосов, не обнаружено фактов, свидетельствующих о несанкционированном доступе к системе, а также об удалении или модификации информации со стороны сотрудников компании-агрегатора или третьих лиц.
Отчет также содержит официальную позицию Group-IB относительно сложившейся ситуации.
«Специалисты Group-IB провели независимое техническое исследование, и его результаты не предназначены для того, чтобы делать обвинительные выводы в сторону кого-либо из участников проекта «Голос.Дети». Group-IB категорически против использования данных из отчета для оценки этической стороны вопроса или обвинений, направленных на детей или их родителей», — говорится в документе.
В конце прошлой недели гендиректор Первого канала Константин Эрнст подтвердил, что зрителям стоит ждать новых сезонов шоу «Голос. Дети». Программу закрывать не собираются, заявил он.