Про базу.
Она настоящая. В ней нашли себя все, кто искал.
Что в этой базе?
Имейлы и даты отправки писем. Больше ничего нет.
Что это за база?
Я на 99% уверен, что она сделана из журнала рассылки почтового сервиса mailgun, которым пользуется ФБК для отправки писем о верификации и подтверждения регистрации.
Собственно, в логах mailgun содержится ровно та информация, которая была опубликована.
В базе самого проекта гораздо больше информации — она не была опубликована. Невозможно представить себе, что кремлесосы не опубликовали бы ещё и адреса, где пользователь поставил точку, если бы они у них были.
Как её слили?
Мои версии по убыванию вероятности:
1. Инсайдер в ФБК, который имел доступ к админке mailgun, и, соответственно, логам рассылки.
2. Взлом аккаунта mailgun.
3. Инсайдер в сервисе mailgun, у которого купили логи.
4. Взлом самого сервиса mailgun.
100. Перехват писем на СОРМ. Конечно, я исключаю эту версию, но указываю её, чтобы ответить сразу всем, потому что версия популярна в моей личке. А исключаю, потому что 1) Отправка писем от ФБК происходит не из РФ, 2) У mailgun нет серверов в РФ.
Как мы видим, ответственность за случившиеся с ФБК частично снимают только две маловероятных версии.
В ФБК уже
признали утечку и начали расследование — это то, что сейчас важнее всего делать.
Моя рекомендация ФБК очень простая и очевидная. Нужно уделять больше внимания информационной безопасности: репутация зарабатывается долго и сложно, теряется в миг, а восстанавливается ещё сложнее.
Нужно хорошо понимать, постоянно держать в голове абсолютно все узлы, через которые проходит чувствительная информация.
Например, масштабы ФБК и их рассылок давно позволяют завести и поддерживать собственный почтовый сервер, к которому имели бы доступ только самые доверенные люди — точно так же, как к базе проектов, а не все, кто занимается рассылками.
Тщательнее следить за отсутствием чувствительной информации в логах, чтобы если кто-то получит доступ к веб-серверу или тому же почтовику, адреса которых узнать гораздо проще, чем место, где хранится база, то не смогли унести оттуда логи, из которых потом можно сделать такую базу.
---
Что важно понимать.
1. Не снимая ответственности за случившееся с ФБК, хочется напомнить, что заказчики и бенефициары взлома и публикации сидят в Кремле.
Это уголовное преступление с целью удержания власти и продолжения пыток главного оппозиционера, и они обязательно понесут за это наказание.
ФБК в этой истории — такая же жертва, как и те, чьи имейлы были опубликованы.
2. К сожалению, по доверию безопасности общественных проектов нанесён большой ущерб. Теперь и ФБК, и другим проектам будет гораздо сложнее собирать базы.
3. Противостоять бандитскому государству с безлимитными ресурсами и абсолютной безнаказанностью (пока), в плане IT и информационной безопасности — сложно, но можно. Просто нужно лучше понимать риски и тратить на это больше ресурсов.
