В середине апреля стало известно об утечке электронных адресов, зарегистрированных на сайте «Свободу Навальному!» — там должны были отмечаться протестующие, готовые выйти на новые акции. При регистрации от пользователей требовалось указать только свою почту и местоположение.
Однако через несколько дней злоумышленники начали рассылать людям, отметившимся на сайте, письма с их персональными данными: ФИО, номерами телефонов и местами работы. Многие обратили внимание, что эти данные полностью совпадают с информацией, которую они указывали при взаимодействии с государственными органами.
Сотрудник, завербованный ФСБ
База с электронными адресами утекла 16 апреля, после чего команда Навального подтвердила её подлинность и извинилась за произошедшее. Оппозиционеры уточнили, что слив был связан с сервисом для рассылки писем Mailgun, которым пользуется ФБК. Но через пару дней компания по итогам внутренней проверки сообщила, что ей не удалось найти уязвимостей и признаков утечки.
—Наша команда выяснила, что для доступа к данным с нашей платформы были использованы действительные API-ключи и учётные данные пользователя
из заявления Mailgun
Команда Навального также инициировала расследование и пришла к выводу, что базу с электронными адресами украл сотрудник ФБК, завербованный ФСБ. По словам Леонида Волкова, у этого человека, имя которого не раскрывается, был доступ к логам почтового сервиса. «Больше ничего не ушло. Никаких персональных данных, никаких имён, никаких адресов, ничего», — добавил оппозиционер.
После утечки пользователям, которые зарегистрировались на сайте, пришли письма с угрозами деанонимизации и продажи их данных рекламным компаниям. На тот момент никакой чувствительной информации, кроме почтовых адресов, рассылка от злоумышленников не содержала.
Почему заподозрили «Госуслуги»
Всё изменилось, когда оппозиция объявила о новой всероссийской акции протеста. 19 апреля пользователи, зарегистрированные на сайте «Свободу Навальному», получили второе письмо от неизвестных. На этот раз они заявили, что оппозиционеры обманули своих сторонников и в слитой базе есть их персональные данные.
В качестве доказательств злоумышленники отправили пользователям их ФИО, даты рождения, места работы, адреса проживания и номера телефонов. Напоследок они в очередной раз пригрозили продать базу и уведомить работодателей о том, что их подчинённые поддерживают Навального.
Пользователи соцсетей, ознакомившись со своими данными, полученными от неизвестных, обратили внимание на происхождение этих сведений. В частности, люди заметили, что часть информации они указывали исключительно при взаимодействии с государственными органами или при регистрации на портале «Госуслуг».
Также одна из сторонниц оппозиции рассказала, что указывала один и тот же адрес электронной почты для отметки на сайте «Свободу Навальному!» и при прохождении ПЦР-тестирования, где у неё в том числе собрали другие персональные данные. Интересно, что при вакцинации от коронавируса граждан также просят оставить электронную почту, телефон и место работы — совпадала ли у кого-нибудь эта информация со сливом, пока неясно.
Те, кто указывал фейковые или не основные почты, которые не светились государству, письма от злоумышленников, судя по сообщениям в соцсетях, не получили. Один из сотрудников «Базы», отметившийся на сайте «Свободу Навальному!» через резервный адрес, тоже получал лишь официальные рассылки от команды ФБК. Второй сотрудник издания, напротив, зарегистрировался по основной почте, привязанной также к порталу «Госуслуг», — неизвестные в итоге отправили ему письмо с персональными данными, включая актуальное место работы и прописки.
Часть пользователей предположила, что «взломщикам» слили данные ПФР и ФНС. Однако ПФР и ФНС регулярно обновляют информацию о россиянах, поскольку получают её от работодателей, а сторонники оппозиции увидели в рассылках в том числе устаревшие сведения о своих бывших местах трудоустройства. Из этого можно предположить, что данные либо слиты с «Госуслуг», где информация о работе не обновляется, либо злоумышленники использовали устаревшие государственные базы.
«Взломщики» также писали, что 70% отметившихся на сайте «Свободу Навальному!» — это боты и одноразовые адреса. В соцсетях предположили, что злоумышленникам просто не удалось верифицировать эти почты, поскольку они не привязаны к государственным сервисам.
Если версия о «Госуслугах» верна, то ситуация могла развиваться только по двум сценариям: либо на портале произошла масштабная утечка, о которой до этого не было известно, либо кто-то из команды портала незаконно предоставил злоумышленникам доступ к базам с персональными данными россиян. Были ли скомпрометированы при этом данные граждан, не имеющих отношения к поддержке оппозиции и митингам, сказать в таком случае точно нельзя.
Портал «Госуслуги» отрицает обвинения в сливе персональных данных. Представители ресурса заявили, что сведения зарегистрированных пользователях «надёжно защищены» и не передаются третьим лицам. Роскомнадзор, в свою очередь, пообещал проверить утечку персональных данных с сайта «Свободу Навальному!». Заодно ведомство напомнило о возможном штрафе в 100 тыс. рублей за подобные нарушения.