27 августа 2019

Петербургский программист рассказывает, как нашел в открытом доступе личные данные сотен россиян. Он связывает утечку с проблемами оборудования для слежки

Петербургский программист Леонид Евдокимов 25 августа на IT-конференции Chaos Constructions рассказал, что в 2018 году нашел в открытом доступе имейл-адреса, телефоны, логины и другие данные сотен россиян — даже из закрытого города. Он связывает это с проблемами оборудования, с помощью которого госорганы следят за интернет-трафиком.

«Бумага» поговорила с Евдокимовым о том, как он обнаружил уязвимость и из-за чего она возникла.

Леонид Евдокимов

Программист

— В начале 2018 года я нашел статистику пользовательского трафика на IP-адресе в сети российского провайдера. (Позже с помощью специального сканера безопасности IP-адресов Zmap он обнаружил еще в 20 сетях российских интернет-провайдеров 30 «подозрительных» анализаторов трафика — прим. «Бумаги»). Там в открытом доступе были номера телефонов, имейл-адреса, логины и GPS-координаты российских интернет-пользователей.

Это был «прямой эфир» трафика, в котором содержались данные. Поэтому сложно даже предположить, сколько данных попало в открытый доступ. О том, использовал ли кто-то эти данные, мне ничего неизвестно.

В дальнейшем мне удалось доказать, что как минимум в двух случаях там были данные частных, а не корпоративных пользователей. Это оказались Хасавюрт в Дагестане и закрытый город Саров.

В Хасавюрте я нашел 56 записей, очень похожих на номера телефонов, и 314 МАС-адресов (присваиваемых каждому оборудованию идентификаторов) клиентов. Например, там были записи вроде M0:79201234567 (приведенные цифры выбраны случайно — прим. «Бумаги»), то есть они похожи на номер телефона с каким-то префиксом. К тому же там были GPS-координаты, хотя стоит понимать, что не каждая GPS-координата это отдельный человек: ходящий с телефоном может составлять несколько координат.

Из Сарова была большая по объему утечка. Там я нашел 260 идентификаторов телефонов с кодом оператора из региона. (Евдокимов говорил, что также смог обнаружить темы электронных писем, предположительно, отправленных подрядчиками Российского федерального ядерного центра и других научных организаций Сарова — прим. «Бумаги»).

Я обнаружил и другие утечки. Но в этом случае была информация лишь об оборудовании, которое этот трафик снимает, а не о расположении клиента.

Оборудование, где хранились все данные, вероятно, принадлежит провайдерам. Проверить это можно, только написав им запрос. Я попробовал сделать это официально, но практически никаких ответов не получил. Только один ответил, что это оборудование их клиента — и ему отправили уведомление. Но что это за клиент, не уточнялось.

Вскоре я стал общаться со своими знакомыми из компаний-провайдеров. Один товарищ, которого я встречал на конференции и который пожелал остаться анонимным, заявил, что данные опубликовала техника компании «МФИ Софт» (поставщика оборудования СОРМ — государственной системы техсредств для оперативно-розыскной деятельности, в том числе слежки за интернет-трафиком; его должны по закону устанавливать провайдеры — прим. «Бумаги»).

При этом нельзя говорить, что публикация трафика — это точно ошибка «МФИ Софт». Может, это ошибка тех, кто занимается внедрением оборудования.

Думаю, вся эта ситуация с технической точки зрения достаточно заурядная. Похожие ошибки в других программных продуктах уже приводили к утечкам информации. Но в этом случае, на мой взгляд, ситуация привлекла внимание, так как деятельность спецслужб всегда интересна людям. Это просто красивый пример: даже на оборудовании, которое призвано заниматься обеспечением безопасности, иногда бывают проблемы с безопасностью.


Как рассказал Евдокимов на конференции, после его сообщений в июне 2018 года провайдеры стали закрывать большинство страниц со статистикой. Часть из них продолжала работать еще в августе 2019 года, но после публикации в телеграм-канале unkn0wnerror доступ к ним всё же ограничили. Программист также отмечал, что сотрудник группы компаний «Цитадель», в которую входит «МФИ Софт», заверял его, что в новых версиях софта для оборудования проблему устранили.

Если вы нашли опечатку, пожалуйста, сообщите нам. Выделите текст с ошибкой и нажмите появившуюся кнопку.
Подписывайтесь, чтобы ничего не пропустить
Все тексты
Кампус
Правда ли тополиный пух — частая причина аллергии и как снизить риски ее развития? Отвечает аллерголог
Почему во время войны одни хотят заниматься сексом реже, а другие чаще? И как вернуть либидо в тревожных обстоятельствах? Объясняет сексолог
Кто связывает свое будущее с Россией? Большое исследование «Бумаги» об уезжающих и остающихся
«Музыка пропаганды говорит: „Ты часть команды. Ты хороший“». Что общего у немецких опер 1930-х и песен Shaman? Объясняет музыковед
Эмигранты 2022-го не планируют возвращаться в Россию. Как изменилась их жизнь за полгода? Результаты большого исследования
К сожалению, мы не поддерживаем Internet Explorer. Читайте наши материалы с помощью других браузеров, например, Chrome или Mozilla Firefox Mozilla Firefox или Chrome.