Фрагмент обогащенной базы данных пользователей из утечки, в которой изначально были только электронные адреса. Источник: телеграм-канал "Утечки иформации".20 апреля 2021 года, по информации «Интерфакс», Роскомнадзор заявил об инициации ведомством срочной проверки обстоятельств утечки персональных данных российских граждан на сайте free.navalny.com. РКН уточнил, что виновным в этом инциденте грозит штраф до 100 тысяч рублей.
РКН отметил, что масштабная утечка данных произошла 16 апреля и «обладает признаками правонарушения, предусмотренного частью 1 статьи 13.11 КоАП (нарушение законодательства в области персональных данных). Ведомство напомнило «о непосредственной ответственности лиц и организаций, собирающих персональные данные граждан, за своевременное принятие должных мер по их защите».
15 апреля 2021 года хакерам удалось получить доступ к базе данных сторонников Алексея Навального, зарегистрировавшихся на сайте free.navalny.com. В общий доступ выложена база с электронными почтами почти 530 тысяч пользователей, зарегистрировавшихся с 23 марта по 1 апреля. Также в базе указано время регистрации и время подтверждения соответствующей почты.
Через некоторое время в сети начали публиковаться обогащенные базы сторонников Навального. В них неизвестными лицами агрегировалась информация из других утечек и «пробивов», где перекрестно встречались утекшие адреса электронных ящиков. В итоге сейчас, по данным телеграм-канал "Утечки иформации", в обобщенных базах присутствуют дополнительные поля, включая ФИО, даты рождения, домашние адреса, пол, телефоны, места работы и учебы.
Телеграм-канал «Утечки иформации» обнаружил в открытом доступе базу на 112 469 строк, содержащую ФИО, даты рождения, домашние адреса, пол, телефоны, места работы и учебы и базу из 52 709 строк, содержащую имена/фамилии и номера телефонов.
Непонятно, кого именно хочет привлечь к ответственности РКН — распространителей какой базы — первоначальной с электронными ящиками (под ПД не попадают), которую подтвердили организаторы и признали, что это их вина, или финальных с персональными данными, но выпущенными неизвестными лицами, которых еще нужно отыскать и деанонимизировать.
Вдобавок пентестер и автор телеграм-канала «Beched's thoughts» (@masterbeched) обнаружил, что в коде страницы сайта free.navalny.com содержался в открытом виде пароль администратора Django-бэкенда. Хоть это факт и не являлся прямой причиной утечки базы зарегистрированных адресов электронной почты сайта, но он показывал низкий уровень защищенности проекта.
