Пятница, 23 июля 2021 11:15

«Мы признаем ошибку с публичной доступностью внутреннего сервиса» Избранное

Команда Навального сделала заявление о сообщениях про утечки базы «Умного голосования»

Команда Алексея Навального назвала вбросами появившиеся на этой неделе сообщения об утечках базы людей, зарегистрировавшихся на сайте «Умного голосования». При этом IT-специалисты команды признали, что ошибки в их работе были, но сейчас они исправлены, говорится в статье, опубликованной на Хабре.

Разработчики пишут, что получили сообщение о том, что в их системе есть уязвимость месяц назад — во время работ по инфраструктуре была допущена ошибка, и в результате часть данных стала доступна сторонним лицам, которые могли отследить регистрирующиеся почтовые адреса. Но, как утверждают разработчики, скачать базу данных было невозможно, а информация о почтовых адресах исчезала после завершения жизненного цикла подов (базовых строительных блоков, из которых построены приложения, работающие на платформе Kubeetes).

«Понимаем, что после допущенных нами ошибок доверие к нашей технической команде резко упало.

Уже почти каждую неделю в анонимных (и не очень) телеграм-каналах мы видим сообщения о якобы „утечке“ адресов базы „Умного голосования“. Подобные выгрузки не имеют ничего общего с действительностью. Да, мы понимаем, что часть email-адресов, введенных на сайте „Умного голосования“, также была похищена злоумышленником через утекший ключ Mailgun, но, тем не менее, анализируя подобные „базы“, мы видим крайне низкое пересечение с нашей реальной базой. Имея доступ к ней, злоумышленники могли бы выложить не только почту, но и фактический адрес, указанный на сайте. Ни из каких „логов“ вытащить это было нельзя», — утверждают разработчики команды Навального.

По их словам, допустивший ошибку девопс-инженер был отстранен от работы. «Мы не расцениваем его действия как злой умысел, но расцениваем как ошибку», — пишут IT-специалисты.

Также команда Навального сообщает, что в последнее время появляются зеркала — полные аналоги сайта «Умного голосования», которые IT-специалисты стараются отслеживать и отправлять запросы на их блокировку. «Очевидно, что эти сайты создаются для дискредитации проекта и для того, чтобы в день выборов ввести пользователей в заблуждение. Базы, которые называют сливом базы УМГ, явно пополняют в том числе и регистрациями с них. Пользователь помнит, что регистрировался на сайте, похожем на настоящий сайт, но не подозревает, что этот сайт не наш», — считают сторонники Навального.

По словам IT-специалистов, теперь они усилили защиту онлайн-платформ Навального. «Мы признаем ошибку с публичной доступностью внутреннего сервиса. Мы установили её причины и исправили её, предприняли технические и организационные меры, чтобы устранить целые классы возможных проблем безопасности. Мы очень надеемся на вашу поддержку и постараемся заслужить ваше доверие вновь», — заключили они.

Накануне на Хабре, напомним, появилась статья пользователя, который нашел уязвимость в системе и сообщил об этом команде Навального. Он заявил, что не может замалчивать происходящее, учитывая, что набор почт базы «Умного голосования» сначала был выставлен на продажу, а затем слит.

Весной, напомним, произошла утечка базы данных о людях, которые зарегистрировались на сайте «Свободу Навальному». Команда оппозиционера предлагала это сделать тем, кто готов участвовать в митингах. Позже сторонники Навального объявили, что собираются подать иски в суды европейских стран на бывшего сотрудника ФБК* Фёдора Горожанко, которого они обвиняют в утечке.

Другие материалы в этой категории: Кто может занять место Венедиктовой »