Комментарии 67
Хотя конечно топорненько выполнено если это действительно так. Логи сессий можно было бы и подчистить.
Хотя конечно топорненько выполнено если это действительно так. Логи сессий можно было бы и подчистить.
Это зачем логи чистить. Во-вторых, уверен "почистить" логи и не сломать систему намного сложнее (если вообще возможно) чем просто использовать уязвимость или бэкдор в процессе авторизации. А во-первых, эти самые логи делают весь процесс легитимным. То факт что пользователь не голосовал известен только со слов пользователя, все логи показывают обратное. Пусть там какой-то айпи не тот, но может пользователь свой пароль передал кому-то. А вот расхождение логов в системе голосования и в системе госуслуги будет явным доказательством вмешательства
У меня и телефон подключен и пароль такой что не подберёшь с пол пинка(буквы разных регистров, цифры, спец. символы), а запись что «я» заходил, есть.
На ПК всегда работает антивирус, а количество софта на ОС весьма ограничено. Все процессы в диспетчере я знаю, так что кейлоггер не пройдёт.
Все процессы в диспетчере я знаю, так что кейлоггер не пройдётНельзя верить отображению диспетчера задач, т.к. вирусы, в том числе и кейлоггеры, могут имитировать чужой процесс через инъекцию или хук API. Кроме этого могут представлять из себя dll-службу, запускаемую с помощью легитимных svсhost.exe или rundll32.exe.
Интересно, какой природы бэкдор. Если вход залогирован, то похоже, что аутентификационные данные были переданы. Хотя, кто знает, как оно у них там под капотом реализовано. Всё таки публичные/госсервисы должны быть опенсорсными)
Ведомство считает, что причиной взломов стали ненадежные пароли учетных записей,
Неправильно. Причина взлома — не слабый пароль, а преступные действия конкретных людей. "Ведомство" почему-то пытается сделать виноватыми самих людей.
И еще интересно, на каком основании "Центр обработки персональных данных" Единой Россиии подключили к госуслугам. Единая Россия вроде не государственная организация.
И еще, непонятно, зачем ЕР проводит праймериз. Как я понимаю, туда просто сгоняют бюджетников (или, возможно, просто рисуют результаты). И зачем это нужно, если это ни на что не влияет? Только чтобы рассказать про якобы 11 миллионов сторонников ЕР по телевизору, проделывать такую сложную операцию?
И еще интересно, на каком основании «Центр обработки персональных данных» Единой Россиии подключили к госуслугам. Единая Россия вроде не государственная организация.Всмысле на каком? Госуслуги предоставляют апи идентификации граждан. Почти кому угодно. Не обязательно быть госорганом. Например, банки могут пользоваться этой возможностью. Сайты опросники могут пользоваться.
Тоже сразу подумал, зачем им напрягаться
Классический вопрос: Кому это выгодно?
Единой России — однозначно нет, администрации Челябинской области — может быть, скандальным журналистам — несомненно.
Предположим, что кто-то это действительно сделал (может в единичном случае, может массово). И снова задаю вопрос: С какой целью?
Предложите свои варианты.
Для меня даже цель самих праймериз не очень ясна. Я предполагаю, что это выработка условных рефлексов у избирателей, но это не более чем моя личная догадка.
Нет, праймериз организованы прагматичными политтехнологами.
Я просил сформулировать предполагаемую цель взлома.
Я просил сформулировать предполагаемую цель взлома.Сверху сказали, что хотят видеть красивые цифры. Кто-то решил не пенсионеров за пакет молока сгонять, а пойти высокотехнологичным путем.
Под давлением общественности извиняюсь за некорректное высказывание. Под "скандальными журналистами" я имел в виду журналистов, которые торопятся опубликовать любую "горячую" новость не утруждая себя сбором доказательств.
Я еще раз перепроверил комментарии к записи Бородиной по ссылке. Фраза "Позже под постом Бородиной стали появляться комментарии, в которых пользователи сетуют на подобные проблемы с их учетными записями" не подтвердилась. Там всего около 30 комментариев и ни одного упоминания "подобных проблем", просто треп людей, критически настроенных к властям.
Может у меня идеологическая слепота? Процитируйте, пожалуйста сетующих.
Простая логика: это выгодно тем же кому выгодно проведение праймериз, высокая активность граждан на праймериз (и, может быть, победа в голосовании на праймериз). Разве нет?
Очевидно, всё это выгодно кому-то в Единой России - их вроде скандальные журналисты не заставляли тратить миллионы долларов и десятки тысяч человеко-часов на это мероприятие
Безотносительно первого комментария в ветке, "is fecit, cui prodest" - это неплохой принцип. Если кто-то не задает себе подобный вопрос это говорит о его нежелании разобраться в проблеме
Политическая позиция это хорошо, но данная заметка имеет много недостатков, главный из которых, отсутствие достоверных источников.
Первая ссылка в этой заметке ведёт на сайт "КоммерсантЪ", который практически полностью основан на публикации Бородиной, которая идёт второй ссылкой в данной заметке. Замечу, что в качестве альтернативного источника "КоммерсантЪ" ссылается на некую Марию Иванову, которую он молча взял из той же публикации Бородиной.
Мария Иванова почему-то не ищется в комментариях, зато описана самой Бородиной в тексте публикации: "А сегодня ко мне в комментарии в этом посте пришла Мария Иванова, у нее точно такая же история на странице в Госуслугах". Может быть это был комментарий в другой соцсети, но я пока его не нашёл.
Я подозреваю. что под фразой "Позже под постом Бородиной стали появляться комментарии, в которых пользователи сетуют на подобные проблемы с их учетными записями" в данной заметке подразумевается всё та же Мария Иванова, поскольку ничего подобного в реальных комментариях нет.
Если кто-то сошлётся на комментарий к фейсбуку Бородиной: "У меня указан СНИЛС не мой! Причём поменять его я не могу и плюс ко всему он моей подруги.", то я расскажу вам про общий компьютер, куки и мы вместе посмеёмся.
Проверил — НЕТ. Судя по комментариям, у комментирующих тоже НЕТ.
Обратите внимание, что я ни в одном комментарии не утверждал, того, что таких записей в истории пользователей госуслуг не было. Я лишь обратил внимание на то, что искать здесь заговор "Единой России" примерно равнозначно поиску влияния русских хакеров на выборы в США. Для тех, кто верит в это априори, доказательств достаточно. Те, кто хочет составить для себя объективную оценку, нужна либо перекрестная проверка по независимым источникам, либо статистически значимый набор входных данных. С моей точки зрения, ошибка программиста или администратора БД здесь более вероятна, чем взлом одиночных учетных записей ради малозначимой цели.
Я уже трижды написал, что как раз у ЕР выгоды здесь нет. У журналистов выгода есть, у оппозиции есть, а у ЕР нет. Если у вас есть предположения, объясните мне в чём она.
Ну как, ничего не дает противникам. Во первых, самая страшная часть этой новости (как и статья в Коммерсанте, на которой она основана) построена исключительно на блоге Романа Удота, которого трудно назвать другом ЕР. Рейтинг -36 у моего первого комментария, показывает, что как минимум 36 комментаторов считают, что за взломами стоят хакеры, нанятые ЕР, и не желают искать никаких других объяснений. Волков, кстати, сейчас пытается доказать, что на праймериз жульничают. Но у него какая-то непонятная статистика, а здесь ужас-ужас-ужас — живых людей взламывают.
Даже без взломов эти голоса дутые. Например у меня жена работает в ЖКХ. Им просто ссылку разослали с настоятельной просьбой проголосовать и прислать скриншот (который был им им тут же в Paint'е нарисован). Представьте сколько подобных голосов в масштабах страны.
У меня такого скриншота нет. К тому же скорее всего это была просто рассылка с безобидной ссылкой на госуслуги, а всё остальное передавалось на словах. И не факт даже, что рассылали по почте, а не в Телеграмме (который у них в конторе активно используется).
Ну и я не думаю, что это тянет на уголовку, т.к. это не выборы даже, а х пойми чего на самом деле. А даже если и тянет, то Вы же не хуже меня всё понимаете.
Что конкретно не понимает ваш американский друг? Что запустив подобный процесс вы потеряете работу, поимеете кучу геморроя для себя и своих коллег (которые в данном случае находятся абсолютно в такой же ситуации, что и вы или даже хуже), а результат будет предсказуем примерно так же как в лотерее? При этом для системы в целом не изменится н-и-ч-е-г-о.
Хотя как минимум некоторые сферы хорошо жалобы отрабатывают, вставляя пистонов соответствующим за беспорядок лицам(правда порой даже перебарщивают). Это из личного опыта(медицина, энергетика).
Вы сейчас говорите банальные истины которые любой взрослый человек и так понимает. В каких-то областях да - это работает. При этом человек всё равно должен осознавать на что лично он готов пойти, что бы восстановить справедливость и стоит ли оно того в конкретном случае. В нашем примере это будет борьба против системы, которая заведомо не пострадает. Причём кто именно пострадает ещё и не понятно заранее. Может быть кто-то кому так же точно это сверху пришло, а может и сам борцун по какой-то статье пойдёт. Но системе точно ничего не будет. Или можно обмануть систему нарисовав требуемый скриншот. Каждый волен выбирать.
Но вот сдвинуть эту инертную массу очень сложно и ситуация должна дойти до крайности, чтобы стадо зашевелилось. К примеру полгода з.п. не платить, когда людям станет уже реально нечего есть, только тогда они устроят забастовку.
Да, именно этого всего и не понимает.
Это вполне естественно. Что бы это понять надо пожить в России лет 40.
Почему, если закон есть и он нарушен, то ни один суд этого не признает?
Вы судебную практику посмотрите. Даже не по "политическим" делам, а по любым. Как люди годами судятся повышая инстанции по таким делам где всё на поверхности лежит. В моём примере к тому же вообще какое нарушение? Кто-то кого-то попросил поучаствовать в каком-то интернет голосовании?
Какой именно геморрой от этого будет?
Т.е. если вы накатаете заяву на своего начальника, а потом ещё вас затаскают по судам в качестве свидетеля (в лучшем случае) никакого геморроя не будет? И в каждой инстанции вам еще доходчиво будут объяснять смысл исконно русской фразы "Тебе что, больше всех надо?".
Почему для системы не изменится ничего, особенно в случае признания незаконности таких действий?
Утверждать это мне даёт право тот факт, что подобного рода нарушения (причём на настоящих выборах даже) происходят десятилетиями и секретом это ни для кого не является.
выборы этак лет назад и выборы сейчас — две большие разницы по уровню честности.
При этом парадокс в том, что на выборах за обнуление проголосовало "за" ~78%. Значит мы делаем вывод, что либо для системы в целом ничего не поменялось. Либо подавляющее большинство граждан таки "за".
Но знакомым вашим конечно уважение. А я не готов, я об этом честно пишу. Я думаю, что и Вы так же в один прекрасный момент подумали "Любитесь дальше сами" и уехали в другую страну. И не надо этого стыдиться.
А, ну и проблем с работой не было ни у кого из них, если это важно.
Это потому, что будучи наблюдателями на участках они очевидно не подавали заяву на своего начальника по месту работы. Разницу улавливаете?
Как только вы говорите, что надо пожить лет 40, чтобы что-то понять, то вы признаете, что ваши оценки лежат не в области рациональных, а в области ощущений.
Я бы сформулировал по другому - мои оценки основаны на моём жизненном опыте. Субъективно для меня они верны. У кого-то опыт будет другой и оценки соответственно другие. Причём заметьте, что я не призываю никого поступать так или иначе. Я просто высказал своё мнение по данному вопросу. Я думаю, что Вы его поняли. Так же как и я понял Ваше мнение (и в целом с ним согласен). Думаю на этом надо и закончить эту ветку, всё таки это технический ресурс.
Вы не сказали, что это был начальник.
Ну а кто же может на работе обратиться с такого вида настоятельной просьбой? Это в любом случае какое-то начальство, у которого есть своё начальство, а него своё и так далее. И в случае чего наказано будет скорее всего не первое звено, а какое-то ближе к концу. Козёл отпущения проще говоря. Это мне опять же мой жизненный опыт подсказывает, но он субъективен как мы уже знаем.
Что именно уголовное преступление?
Предложение проголосовать по ссылке - нет не преступление.
Прислать скриншот того что проголосовали, по сути тоже нет (это частная голосовала к выборам по сути не имеющая отношения, ну и на скриншоте может быть отображён только факт того что человек проголосовал, а не его выбор)
Вот если бы в письма было - не пришлёте вас лишим премии вот это было бы уже чем-то более серьёзным, но такого наверняка не было....
Захотят — проставят всем аккаунтам голос за ЕР а потом скажут что 100% населения проголосовало за ЕР ) И попробуй докажи что этого небыло.
Потому вероятно выбирались акки к примеру редко заходящие или старшее поколение, которое имеет практически нулевые IT навыки.
Вопрос к тем, кто участвовал в электронных праймериз. Покажите, как выглядит процесс входа на сайт голосования в ваших логах.
Кажется, придумал рациональное объяснение для истории взлома Дианы Забелиной (одного из пяти описанных). По крайней мере, это объяснение мне кажется существенно правдоподобнее теории заговора.
По скриншотам:
16:29 12.05.2021 кто-то вошёл под учетной записью Дианы на какой-то сайт ЕР (возможно, что на праймериз)
16:35 Ещё один вход на сайт ЕР
В это время, как я предполагаю, владелица личного кабинета получает СМС с просьбой ввести паспортные данные на сайте голосования. Об этой СМС она упоминает в комментариях.
16:57 Вход на портал госуслуг
17:00 Смена номера телефона
17:05 Третий вход на сайт ЕР
17:07 по 17:11 Взломщик с помощью мата пытается пробиться через бота службы поддержки и сообщить о том, что кто-то (то есть он) получил доступ к персональным данным
в 17:11 он устает и оставляет сообщение владелице: "А ок выхожу из аккаунта, поменяйте пароль"
Этот сценарий совсем не похож на накрутку результатов голосования. Самым правдоподобным объяснением являются действия белого хакера, который решил показать, что система голосования содержит уязвимости. Как он получил пароль Дианы, подбором или по слитой базе (скорее по базе), нам не узнать, но вошёл он, судя по последней фразе в чате техподдержки, по паролю.
С 16:29 по 16:35 он пытался проголосовать, но уперся в то, что СМС с кодом ушла к владелице. В 17:00 он поменял телефон на Госуслугах и в 17:05 попытался повторить попытку фальшивого голосования (возможно успешную). Уходя он попытался уведомить службу техподдержки о слабом пароле, который может использовать кто-нибудь ещё, но не преуспел в этом и тихо отключился, не нанеся владелице никакого ущерба, если, конечно, не считать нервного напряжения от факта взлома.
Пользователи госуслуг выяснили, что их аккаунты регистрировали на праймериз ЕР