Роскомнадзор проверит утечку личных данных с сайта в поддержку Навального и собирается оштрафовать виновников инцидента

    Фрагмент обогащенной базы данных пользователей из утечки, в которой изначально были только электронные адреса. Источник: телеграм-канал "Утечки иформации".

    20 апреля 2021 года, по информации «Интерфакс», Роскомнадзор заявил об инициации ведомством срочной проверки обстоятельств утечки персональных данных российских граждан на сайте free.navalny.com. РКН уточнил, что виновным в этом инциденте грозит штраф до 100 тысяч рублей.

    РКН отметил, что масштабная утечка данных произошла 16 апреля и «обладает признаками правонарушения, предусмотренного частью 1 статьи 13.11 КоАП (нарушение законодательства в области персональных данных). Ведомство напомнило «о непосредственной ответственности лиц и организаций, собирающих персональные данные граждан, за своевременное принятие должных мер по их защите».

    15 апреля 2021 года хакерам удалось получить доступ к базе данных сторонников Алексея Навального, зарегистрировавшихся на сайте free.navalny.com. В общий доступ выложена база с электронными почтами почти 530 тысяч пользователей, зарегистрировавшихся с 23 марта по 1 апреля. Также в базе указано время регистрации и время подтверждения соответствующей почты.

    Через некоторое время в сети начали публиковаться обогащенные базы сторонников Навального. В них неизвестными лицами агрегировалась информация из других утечек и «пробивов», где перекрестно встречались утекшие адреса электронных ящиков. В итоге сейчас, по данным телеграм-канал "Утечки иформации", в обобщенных базах присутствуют дополнительные поля, включая ФИО, даты рождения, домашние адреса, пол, телефоны, места работы и учебы.

    Телеграм-канал «Утечки иформации» обнаружил в открытом доступе базу на 112 469 строк, содержащую ФИО, даты рождения, домашние адреса, пол, телефоны, места работы и учебы и базу из 52 709 строк, содержащую имена/фамилии и номера телефонов.


    Непонятно, кого именно хочет привлечь к ответственности РКН — распространителей какой базы — первоначальной с электронными ящиками (под ПД не попадают), которую подтвердили организаторы и признали, что это их вина, или финальных с персональными данными, но выпущенными неизвестными лицами, которых еще нужно отыскать и деанонимизировать.

    Вдобавок пентестер и автор телеграм-канала «Beched's thoughts» (@masterbeched) обнаружил, что в коде страницы сайта free.navalny.com содержался в открытом виде пароль администратора Django-бэкенда. Хоть это факт и не являлся прямой причиной утечки базы зарегистрированных адресов электронной почты сайта, но он показывал низкий уровень защищенности проекта.

    Комментарии 20

      +32

      В ходе следственных действий самое главное не выйти на самих себя.
      Особенно актуально в свете сообщений, что утёкшие e-mail привязываются к данным из поликлиник и госуслуг. Но это РКН, конечно же, в упор не увидит.

        +16
        Как и вагоны сливов со всех банков включая сбер, но как Навальный прозвучало, уууу… фас фас
          +6

          Интонацией Пескова "Какие банки, какой такой сбербанк? Не слышали ничего такого, это всё домыслы, уверяю вас. Ваши данные абсолютно надежно защищены, и, да, не забудьте завтра в 9:00 сдать биометрию, которую вы не сможете потом сменить, нам это очень важно".

            +6

            "У нас такой информации нет"

              –2
              Грефа?
              +17
              Где-то год назад со мной связались дальние родственники, которые видимо искали меня и начали уверять, что у меня есть 2 сына. Детей у меня в данный момент нет и не было. Но зато была работа в сбербанке, где я работала на детском приложении сберкидс, где у меня и завелись для тестов на проде 2 сына-тестировщика, которые до сих пор отображаются в моем сбер онлайн.
              Сливает ли сбер данные? Несомненно.
                +2
                Буквально в «Похожих публикациях» к этой статье сейчас висит
                31 октября 2018 в 12:40 Роскомнадзор заинтересовался утечкой базы сотрудников Сбербанка

                Впрочем, вряд ли для последнего были какие-то последствия.
              +5
              я может сейчас глупость сморожу, но как питон
              содержался в открытом виде пароль администратора Django-бэкенда.

              оказался в JS на скрине?
                +1
                код этот на сайте не нашел, но вот после тщательного просмотра кода со скрина, получается что «Django-бэкенда» это всего лишь название части домена, судя по строчке 1460, но вот говорить что строчка 1462, это «пароль администратора» от этого сервера… это как то сильно громко
                  +7

                  Если я правильно проанализировал скрипты, это пароль от тестового инстанса внутри какого-то докер-контейнера http://freenavalny-django:8000/


                  И, во-первых, на продакшене этот пароль вообще не используется (код, работающий с этим паролем, упирается в false-переменную a = !1 (её немного видно на скриншоте в посте) и пропускается)


                  А во-вторых, к Django-админке он не имеет отношения (если бы a было true, то этот пароль использовался бы в HTTP-заголовке Authorization, который Django-админка никак не использует, но которым, вероятно, просто прикрыт тестовый инстанс от посторонних глаз)


                  Думаю, разработчики собирали два раздельных билда фронтенда — для теста и для прода, а режим текущего билда переключали с помощью этой самой переменной a (вероятно, до минимизации скрипта на месте a было какое-нибудь чтение текущего режима webpack или что-то вроде того)


                  Если мои предположения верны, то скорее всего этот пароль в целом не влияет на безопасность сайта и к утечкам не имеет отношения (если, конечно, на тестовый инстанс не скопировали базу с прода, но это уже совсем другая история)

                    +1

                    На момент релиза у них эта пара использовалась для basic-авторизации при обращении за координатами точек на карте. Зачем — хз, ибо этот апи был доступен без авторизации. Пароль и логин подходили при попытке зайти в админку, но за basic'ом там обычная джанговская форма логина.

                  +2
                  Непонятно, кого именно хочет привлечь к ответственности РКН — распространителей какой базы
                  В смысле — распространителей? Они же прямо говорят, что собираются наказать хозяев базы за то, что они не позаботились о её безопасности:
                  Ведомство напомнило «о непосредственной ответственности лиц и организаций, собирающих персональные данные граждан, за своевременное принятие должных мер по их защите».
                  А распространителей — это сфера уголовного розыска.
                    +6

                    Изначальные логи с имэйлами не подпадают под ПД. Под пд подпадают обогащённые базы от анонимов. Понимает ли это ркн (а если понимает — колышет ли их эта мелочь хоть немного) — вопрос открытый.

                    +8

                    РКН нужен лишь чтобы заблокировать да оштрафовать всё что связано с ФБК. Будь это Гугл Аналитика или слив данных сторонников с ГосУслуг (но виноват всё равно Навальный)

                      +6
                      Друзьям — всё, врагам — закон (с)
                        +10

                        Это как если ваш дом обокрали, а милиция ещё вас же наказала за необеспечение сохранности вещей.

                          0
                          а милиция ещё вас же наказала за необеспечение сохранности вещей.

                          и за то, что хороших людей ввели в искушение, сбили с пути истинного.
                            0
                            Без относительно конкретной ситуации, но если фирма/банк не озаботится безопасностью и позволят кому угодно угонять ваши данные и деньги, то опять же никто не виноват?
                            В ЕС штрафуют за утечки по причине того, что фирмы даже не думают озаботится о безопасности данных своих пользователей, пока их не пнёшь. То есть пока реализация не окажется дешевле, чем выплачивать штрафы.
                            И да, если вы оставили дверь на распашку, а украли чужие вещи, то опять же вы никак не виноваты в этом будете?
                            Так что логика в подобных вещах в общем случае — есть: взявшись обрабатывать чувствительные данные — «лезь в кузов», то есть обеспечь их безопасную обработку.

                            Есть ли логика в конкретном… Вопрос даже не риторический. (А что украли то? Факт регистрации почтового адреса на сервисе? Или почтовые адреса пользователей? Ну тут тогда тех же спамеров надо табунами сажать: за массовые рассылки как вора в законе упаковывать, ага) Я пока даже не увидел утечки ПД в факте слива емейлов, а остальное там вроде с других утечек у других контор взято.
                            +12
                            Ну, мы же помним. Данные в открытом виде на Сапсане — виноват хакер, ведь это незаконно — получать доступ к чужим данным.

                            Утечка базы емейлов (которые, кстати, ни разу не персональные данные) у ФБК — виноват, конечно, Навальный.
                              +2
                              Ага,
                              Вы не понимаете, это другое

                            Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                            Самое читаемое