Программист Леонид Евдокимов обнаружил в открытом доступе персональные данные россиян. Он предположил, что их опубликовало оборудование системы технических средств для обеспечения функций оперативно-розыскных мероприятий (СОРМ). Евдокимов рассказал об этом на IT-конференции Chaos Constructions в Санкт-Петербурге. Доклад «Проруха на СОРМ» опубликован на его сайте.
По словам программиста, в апреле прошлого года некоторые интернет-пользователи обратили внимание на IP-адрес в сети «Ростелекома», на котором была статистика пользовательского трафика. Они предположили, что это перехватчики трафика, которые используются в том числе для борьбы с обходом блокировок телеграма. Воспользовавшись сканером Zmap, Евдокимов нашел еще 30 похожих снифферов в сетях около 20 российских провайдеров.
При этом программист не нашел «прямых доказательств причастности оборудования к охоте на телеграм». Проанализировав трафик, он предположил, что это «живое оборудование, которое занимается прослушкой». После этого он связался с неназванным сотрудником провайдера, тот ответил ему, что «это стандартная „коробка“ от разработчика СОРМ-ов и системы „Ревизор“». По его словам, речь идет о технике разработчика систем информационной безопасности «МФИ Софт».
«Теоретически это оборудование в интернет „смотреть“ не должно, но практически вендор иногда говорит, что дайте какой-то удаленный доступ», — рассказал Евдокимов на конференции.
С помощью опубликованных данных он вычислил MAC-адреса роутеров, географические координаты, десятки номеров ICQ, IMEI телефонов и мобильных номеров. Евдокимов обнаружил, что часть роутеров расположена в дагестанском селе Новосельское.
Один из разработчиков «МФИ Софт» Артем Шпынов сказал программисту, что это корпоративные системы безопасности, но тот с ним не согласился. «Географическая распределенность пользователей по разным регионам, данные которых сливал сниффер, она позволяет мне укрепиться в своем предположении, что это был не корпоративный съемник. Не было концентрации вокруг одного офиса или нескольких», — сказал Евдокимов.
Кроме того, программист вычислил более 300 тысяч GPS-координат, которые устройства пользователей отправляли на трекинговые сервисы. Отсеяв дубли и округлив цифры, он обнаружил, что девять из десяти тысяч координат сосредоточены в городе Саров. «Точки были рассредоточены по всему городу довольно равномерно, из чего я убеждался в предположении, что это не корпоративная история», — подчеркнул программист, добавив, что речь, скорее всего, идет о координатах частных пользователей провайдеров.
Перехваченные Евдокимовым номера телефонов также встречаются в издании «Колючий Саров», а номера ICQ — в саровском ICQ-листе. Он также нашел темы email-писем Саровбизнесбанка, Российского федерального ядерного центра, Всероссийского научно-исследовательского института экспериментальной физики и других организаций.
Евдокимов связался с провайдерами в июне 2018-го и те начали закрывать страницы со статистикой, однако некоторые IP-адреса оставались открытыми до августа этого года.
«МФИ Софт» входит в группу компаний «Цитадель», а та — в «ИКС Холдинг» партнера Алишера Усманова Антона Черепенникова. В начале августа РБК сообщал, что после принятия «закона Яровой» выручка компаний, производящих СОРМ, выросла в три раза. Так, чистая прибыль «МФИ Софт» в прошлом году составила более двух миллиардов рублей.
Не бойся быть свободным. Оформи донейт.