Взлом ФБК. История одного предательства

• Опубликовал Денис Грачев 1 июня 2021 г. - 3 051 просмотр

  

  Во-первых, извините, что из-за нашей ошибки, нашего недосмотра и неосмотрительности была украдена e-mail база наших сторонников. Мы сделаем все, чтобы такого никогда не повторилось. А во-вторых, конечно же, вот расследование о том кто, когда и почему совершил это преступление.

  Вряд ли мы кого-то удивим или шокируем, если скажем, что Путин нас ненавидит. Боится, пытается уничтожить и сделать нашу жизнь невыносимой. Против относительно небольшой некоммерческой организации годами с помощью всех государственных ведомств ведется настоящая война. Нам громили офисы, нас задерживали, сажали, не допускали до выборов, блокировали нам счета, терроризировали родных и близких. Запретили ФБК, посадили Алексея Навального, завели кучу уголовных дел, чтобы никогда не выпускать. Только представьте, сколько человек в это вовлечено. Сколько денег на это тратится, сколько ресурсов, времени и усилий.

  Однако эта история не только про очередной виток путинских репрессий против Фонда борьбы с коррупцией и штабов Навального. Мы для них враги, понятно. Но теперь решили бороться и с вами – людьми, которые виноваты только в том, что им не нравится несменяемая власть, и которые заступились за незаконно посаженного человека в то время, когда он болел, голодал и не получал помощи. Путин ненавидит и вас.

  Когда Навального незаконно арестовали, мы сделали сайт «Свободу Навальному», на котором вы оставляли свои электронные адреса, чтобы скоординированно выйти в определенный день на митинги против незаконного ареста.

  А с 16 апреля зарегистрированным людям стали приходить письма. Не от нас. С угрозами и запугиваниями.

  Злоумышленники добавили в рассылки личные данные из государственных баз – регистрации по месту жительства, места работы, данные с сайта госуслуг. Аналогичные письма были разосланы работодателям – мол осмотрите, ваш сотрудник зарегистрирован на сайте Навального.

  21 апреля 2021 года прошли акции протеста в десятках городов, люди несмотря ни на что выходили на улицы ради Навального.

  После митингов власть включила машину преследования участников митинга: административные аресты и штрафы, посещения полицейскими, проблемы на работе и учебе. К нам обратилось 34 человека в связи с увольнениями из бюджетных организаций. В СМИ разошлась информация об угрозах увольнения сотен людей...

  Эта история еще и про предательство. Про то, как один конкретный человек, работавший раньше вместе с нами, продал за относительно небольшую сумму вас всех. Своими руками сделал так, что десятки человек потеряли работу. Перестали иметь возможность кормить свои семьи и платить по счетам.

   

  Мы приступили к разбору произошедшего со всей основательностью.

  Первое, что надо сделать для поиска вора, когда у вас что-то украли – понять откуда украли и как. К счастью, между кражей чего-то через интернет и кражей кошелька на рынке есть большая разница. Когда воруют через интернет, то остаётся куча цифровых следов, которые невозможно удалить. Особенно если вор достаточно глупый. И мы начали смотреть, какие улики у нас есть.

  Первая улика, которую надо исследовать –это, конечно, сами украденные данные. Это только адреса электронной почты и время. Но без самого главного – домашних адресов людей, которые регистрировались на нашем сайте. Единственная причина, по которой они не опубликованы (согласитесь, это было бы куда большим уроном) – просто отсутствие этих данных у воров. Запомним это.

  Теперь про время, это вторая колонка, которую мы нашли в слитых данных. Мы записывали время регистрации человека на сайте, но это не оно. Время, указанное в сливе – на несколько часов позже. Что это может быть? Мы разобрались.

  Это время рассылки e-mail с просьбой подтвердить свою регистрацию на сайте. Первая отметка – дата отправки письма с просьбой подтвердить регистрацию, вторая – с благодарностью за подтверждение. То есть утечка была не с нашего сайта, а с сервиса, который делает для нас рассылки. Что это за сервис такой? Объясняю. Отправить 10 000 или 500 000 писем, как это было нам нужно, невозможно вручную. Надо же следить, чтобы каждое письмо было отправлено вовремя, доставлено, прочитано и так далее. Для этого существуют сервисы рассылок, которые все это автоматизируют и делают за тебя. А клиент просто смотрит – столько-то дошло, столько-то потерялось. Мы пользовались почтовым сервисом «Мейлган», он надежный, не базируется в России. И сотрудники ФСБ не могут прийти и сказать: «А ну-ка отдайте нам все письма, которые вы от Навального отправляете».

  И целью вора был именно этот сервис. Мы не передавали почтовому сервису домашние адреса (зачем они им?), поэтому они и не утекли. А сами e-mail, список для рассылки – передавали. Именно эти e-mail и находятся в слитой базе.

  Место преступления установлено с точностью. Теперь надо понять, как была совершена кража. Попасть в наш аккаунт на почтовом сервисе можно двумя способами. Первый, очевидный, через пароль. По паролю в сервис попадают так же, как в свою электронную почту. Можно зайти и посмотреть, что и кому отправляется. Но мы проверили, по паролю в аккаунт никто не заходил и данные не выкачивал.

  А теперь второй способ, для него нужен специальный секретный ключ, которые позволит сервису распознать, что вы свой. Это называется API-ключ, он вписывается в программу, которая отправляет письма, чтобы она могла работать без ввода логина и пароля. Количество людей, имеющих доступ к этому ключу, жестко ограничено. Это все наши сотрудники, которым положено его иметь.

   

  Мы спросили у сервиса рассылок, кто же заходил и что-то делал по нашему ключу, и получили список, грубо говоря, компьютеров (адресов). У большинства было алиби – они были наши, и, самое главное, они не выкачивали список электронных почт. Но в этом списке обнаружился и пользователь, который с помощью специально написанного несложного скрипта планомерно выкачивал данные. Мы смогли увидеть во всех подробностях, как это происходило: сколько тысяч адресов было украдено в один день, сколько в другой. И даже откуда. Наши базы выкачивались из Приморского края и Санкт-Петербурга. Мы точно определили, как перемещался по стране наш глупый воришка. Осталось понять, кто же он.

  И мы вычислили его очень просто. По IP-адресу.

  Этого человека зовут Федор Горожанко. В ФБК он до увольнения занимался рассылками. То есть имел доступ к секретному API-ключу. И вот еще забавная деталь: он воровал наши данные не в первый раз., и никогда на него не подписывались.

  Горожанко совершил уголовно наказуемое преступление. В Уголовном кодексе есть статья 272 – неправомерный доступ к компьютерной информации с корыстным мотивом. В данном случае это персональные данные. Это воровство не вещей или денег, а информации. Создание программы для неправомерного доступа – статья 273 УК. Я вижу тут состав и статьи 137 нарушение неприкосновенности частной жизни. И 138 – нарушение тайны переписки.

  Федор проработал в ФБК четыре года. Еще больше лет он является заметным питерским либеральным активистом. Он боролся с нарушениями в жилищно-коммунальной сфере, баллотировался в Законодательное собрание от партии «Яблоко». Отец Федора – известный в Петербурге и Псковской области журналист и общественный деятель. Действующий депутат, тоже от партии «Яблоко».

  Что с Федором случилось? Откуда взялись вдруг написанные им по лучшим кремлевским темникам посты? Людей сажает не Путин, а Навальный. У Навального нет программы. Он идет по головам. А яхту Абрамовича трогать нельзя. Пропагандиста Соловьева – тоже...

  Разочаровался? Выгорел или обиделся, мало ли. Но одно дело – обиженные тексты, а другое – уголовное преступление, на которое он пошел. Поставлены в опасность сотни тысяч людей. Разочарования мало, чтобы слить базу сторонников, где есть почта собственных брата и отца. Нужна другая очень веская причина. И мы ее нашли.

   

  Это деньги. Федор Горожанко человек небогатый. Заметной работы после ФБК толком не было, политической карьеры построить он не смог. Жил непонятно на что. Из имущества только комната в коммуналке. И Федор залез в микрокредиты. Взял, а вернуть не смог. Долг продали коллекторам, а те подали на него в суд.

  Мы связались с коллекторами и уточнили сумму иска. 96 тысяч рублей.

  Но все изменилось после взлома базы данных ФБК. 3 апреля Федор внес наличными на свой счет 245 тысяч рублей. 9 апреля, опять наличными, 995 тысяч рублей. Больше миллиона рублей наличных за несколько дней у человека, который не может вернуть долг в 96 тысяч – согласитесь, редко такое бывает?

  Благодаря расследованиям журналистов из «Медузы» и «Настоящего времени» мы узнали, что заказчиком этого взлома была администрация президента. Журналисты называют конкретных людей: Андрей Ярин — начальник Управления по внутренней политике, и Михаил Дудин, программист, который раньше просто помогал администрации президента со всякими спецоперациями типа взломов, а теперь в этой администрации официально трудоустроен. А Федор Горожанко был мелким исполнителем, человеком, который поднес нужные ключи и продал полмиллиона комплектов личных данных сторонников Навального как минимум за миллион с лишним рублей.

  Самое поразительно в этой истории, пожалуй, как недорого стоит совесть. Федор Горожанко продал свою по два рубля за человека, если считать грубо. Во столько оценил вашу безопасность и личные данные. Столько он получил за каждого из уволенных сотрудников метрополитена и дептранса, которые остались без работы и возможности содержать свои семьи. Зато Федор разжился двумя рублями с носа.

  И еще важная вещь. Безусловно, эта история во многом про нашу ошибку. Мы могли сменить ключ API, перестраховаться, раньше распознать предателя. Мы выучили этот урок и сделаем все, чтобы такого никогда не повторилось.

  Но еще это история про преступления. На одну нашу ошибку приходится пять уголовных преступлений, совершенных вполне конкретными людьми. Дудин, Ярин, Кириенко и все, кто отвечает за гонения на оппозицию в администрации президента. Придумали свою схему с хакерами? Молодцы. Но это пять уголовных статей.

  Максим Ликсутов, глава департамента транспорта Москвы, из подведомственных организаций которого уволили десятки людей. Сотни запугивали. По его личному приказу. Ликсутов через этих людей мстит нам лично – за то, что много лет мы публикуем расследования о том, как этот невероятно богатый чиновник зарабатывает деньги на московском транспорте и как он фиктивно развелся с женой (самой богатой женщиной Эстонии), чтобы не декларировать доходы от переписанных на нее активов.

  Виновато руководство и глава ВГТРК Добродеев. Личную беседу с одной из уволенных сотрудниц проводил известный ведущий и депутат Мосгордумы Андрей Медведев. Он сказал, что нельзя поддерживать Навального и получать зарплату на ВГТРК – и вообще он испытывает личную обиду, потому что он большой друг Маргариты Симоньян, а Навальный рассказывает про то, как та на своей «Раше Тудей» бессовестно ворует.

   

  Горожанко, заказчики из администрации президента, Ликсутов, руководство ВГТРК и другие люди, принявшие решение уничтожать людей за поддержку Навального – вот те, кто должен нести ответственность за происшедшее. Мы подадим заявления о преступлении против каждого. Всем незаконно уволенным мы помогаем и будем помогать вплоть до Европейского суда по правам человека.

  Правда на нашей стороне. Никто не обещал, что схватка с огромным злым монстром – путинским режимом – будет простой. Но мы обязательно справимся вместе.

  Источник: https://navalny.com/p/6490/?fbclid=IwAR1-mIsP8sbEWBj71BQZPUxhJgScr68DAsSGVoODHFmCHjBaGDKPOt3fjNk