Петербургский программист Леонид Евдокимов 25 августа на IT-конференции Chaos Constructions рассказал, что в 2018 году нашел в открытом доступе имейл-адреса, телефоны, логины и другие данные сотен россиян — даже из закрытого города. Он связывает это с проблемами оборудования, с помощью которого госорганы следят за интернет-трафиком.
«Бумага» поговорила с Евдокимовым о том, как он обнаружил уязвимость и из-за чего она возникла.
Леонид Евдокимов
Программист
— В начале 2018 года я нашел статистику пользовательского трафика на IP-адресе в сети российского провайдера. (Позже с помощью специального сканера безопасности IP-адресов Zmap он обнаружил еще в 20 сетях российских интернет-провайдеров 30 «подозрительных» анализаторов трафика — прим. «Бумаги»). Там в открытом доступе были номера телефонов, имейл-адреса, логины и GPS-координаты российских интернет-пользователей.
Это был «прямой эфир» трафика, в котором содержались данные. Поэтому сложно даже предположить, сколько данных попало в открытый доступ. О том, использовал ли кто-то эти данные, мне ничего неизвестно.
В дальнейшем мне удалось доказать, что как минимум в двух случаях там были данные частных, а не корпоративных пользователей. Это оказались Хасавюрт в Дагестане и закрытый город Саров.
В Хасавюрте я нашел 56 записей, очень похожих на номера телефонов, и 314 МАС-адресов (присваиваемых каждому оборудованию идентификаторов) клиентов. Например, там были записи вроде M0:79201234567 (приведенные цифры выбраны случайно — прим. «Бумаги»), то есть они похожи на номер телефона с каким-то префиксом. К тому же там были GPS-координаты, хотя стоит понимать, что не каждая GPS-координата это отдельный человек: ходящий с телефоном может составлять несколько координат.
Из Сарова была большая по объему утечка. Там я нашел 260 идентификаторов телефонов с кодом оператора из региона. (Евдокимов говорил, что также смог обнаружить темы электронных писем, предположительно, отправленных подрядчиками Российского федерального ядерного центра и других научных организаций Сарова — прим. «Бумаги»).
Я обнаружил и другие утечки. Но в этом случае была информация лишь об оборудовании, которое этот трафик снимает, а не о расположении клиента.
Оборудование, где хранились все данные, вероятно, принадлежит провайдерам. Проверить это можно, только написав им запрос. Я попробовал сделать это официально, но практически никаких ответов не получил. Только один ответил, что это оборудование их клиента — и ему отправили уведомление. Но что это за клиент, не уточнялось.
Вскоре я стал общаться со своими знакомыми из компаний-провайдеров. Один товарищ, которого я встречал на конференции и который пожелал остаться анонимным, заявил, что данные опубликовала техника компании «МФИ Софт» (поставщика оборудования СОРМ — государственной системы техсредств для оперативно-розыскной деятельности, в том числе слежки за интернет-трафиком; его должны по закону устанавливать провайдеры — прим. «Бумаги»).
При этом нельзя говорить, что публикация трафика — это точно ошибка «МФИ Софт». Может, это ошибка тех, кто занимается внедрением оборудования.
Думаю, вся эта ситуация с технической точки зрения достаточно заурядная. Похожие ошибки в других программных продуктах уже приводили к утечкам информации. Но в этом случае, на мой взгляд, ситуация привлекла внимание, так как деятельность спецслужб всегда интересна людям. Это просто красивый пример: даже на оборудовании, которое призвано заниматься обеспечением безопасности, иногда бывают проблемы с безопасностью.
Как рассказал Евдокимов на конференции, после его сообщений в июне 2018 года провайдеры стали закрывать большинство страниц со статистикой. Часть из них продолжала работать еще в августе 2019 года, но после публикации в телеграм-канале unkn0wnerror доступ к ним всё же ограничили. Программист также отмечал, что сотрудник группы компаний «Цитадель», в которую входит «МФИ Софт», заверял его, что в новых версиях софта для оборудования проблему устранили.
