Дата-центр «Ростелекома». Декабрь 2015 года Андрей Рудаков / Bloomberg / Getty Images

25 августа российский программист Леонид Евдокимов выступил на IT-конференции Chaos Constructions в Санкт-Петербурге. Доклад под названием «Проруха на СОРМ», который программист также опубликовал на своем сайте, был посвящен появлению в открытом доступе персональных данных российских интернет-пользователей.

В открытом доступе оказались почтовые адреса, телефоны, логины и географические координаты россиян

Как рассказал Евдокимов участникам конференции, в апреле 2018 года знакомый обратил его внимание на IP-адрес в сети «Ростелекома», на котором в открытом доступе находилась некая статистика пользовательского трафика. Сначала он предположил, что это адрес так называемого , который пытается отследить способы обхода мессенджером Telegram блокировок Роскомнадзора.

Как Евдокимов изучал эффект от блокировок телеграма Программист в письме Роскомнадзору назвал более ста сервисов, пострадавших от блокировки Telegram

Однако прямых доказательств причастности оборудования к слежке за трафиком телеграма Евдокимов так и не обнаружил. Зато по характерному распределению трафика в зависимости от времени суток он предположил, что это «часть живого оборудования, которое занимается прослушкой». После чего с помощью сканера программист нашел 30 подобных «подозрительных снифферов» в сетях как минимум 20 российских провайдеров.

На IP-адресах этих устройств Евдокимов обнаружил открытые FTP-серверы, а также некое подобие «прямого эфира» трафика, где — в числе прочих данных — нашлось «что-то очень похожее» на мобильные телефоны клиентов провайдеров, их логины, адреса имейлов, сетевые адреса, номера мессенджеров — и даже GPS-координаты, очевидно переданные недостаточно защищенными смартфонами с устаревшими прошивками. «Все эти данные предоставляют возможность определить, чей именно это трафик, что это за клиенты [провайдеров]», — заключил Евдокимов.

Chaos Constructions 2019 Леонид Евдокимов Проруха на СОРМ uMagistr

Евдокимов обнаружил доказательства того, что личные данные публиковало оборудование для государственной слежки за интернет-трафиком

«Как честный человек, я перво-наперво отправил сообщения об этом провайдерам, чтобы разобрались, что это такое. Мне ответили, что это стандартная „коробка“ от разработчика и системы „ “», — продолжил презентацию Евдокимов. Он показал зрителям фрагмент интернет-переписки с неназванным сотрудником одного из провайдеров. Собеседник программиста прямо указал, что речь идет о технике « » — одного из крупнейших российских поставщиков оборудования СОРМ. Это произошло в мае 2018 года, уточнил Евдокимов «Медузе».

При этом сотрудник самой «МФИ Софт» в переписке с программистом отказался поверить, что утечки идут из оборудования его компании, предположив, что проблема в «корпоративных системах информационной безопасности» у клиентов провайдера. Однако «МФИ Софт» явным образом упоминалась в опубликованных оборудованием программных пакетах данных на двух адресах из 30, констатировал Евдокимов в разговоре с «Медузой».

Фрагмент из презентации Евдокимова со скриншотом переписки с сотрудником провайдера Леонид Евдокимов

«На этих адресах располагались FTP-серверы с публично доступными копиями некоторого комплекса компьютерных программ. Они были маркированы как программы от данного вендора [„МФИ Софт“]», — добавил он. Что касается остальных 28 адресов, то там производитель оборудования явно не упоминался, однако на них были доступны «довольно характерные шаблоны страниц статистики», отметил Евдокимов. Такие страницы не являются стандартизированными и поэтому несут почерк производителя оборудования, хотя «строгим доказательством это, конечно же, не является», добавил он. Евдокимов допустил, что теоретически это может быть оборудование «МФИ Софт» для сбора «какой-нибудь маркетинговой информации», однако он никогда не слышал, чтобы разработчик СОРМ создавал такое оборудование.

На презентации программист показал, как с помощью опубликованных данных смог с высокой степенью вероятности вычислить MAC-адреса роутеров и даже географические координаты десятков жителей дагестанского села Новосельского.

Были опубликованы даже данные жителей закрытого города Сарова

Другое устройство, расположенное в Москве, показывало всем желающим десятки номеров ICQ, несколько сотен телефонов и самих мобильных номеров. Скорее всего, это данные частных, а не корпоративных пользователей, поскольку в выходные и праздники открытая база продолжала пополняться так же активно, как и в будние дни, подчеркнул Евдокимов. Более того, в некоторых логах он обнаружил «что-то очень похожее на имена пользователей» провайдеров.

В логах московского оборудования Евдокимов также нашел более 300 тысяч GPS-координат, которые устройства пользователей отправляли на различные трекинговые сервисы. Отсеяв повторы и округлив цифры, программист обнаружил, что девять из десяти тысяч координат «были сосредоточены в ядерной столице нашей Родины городе Сарове». А опубликованные оборудованием номера телефонов «порой появлялись в объявлениях газеты „Колючий Саров“ — „продам платье“, „куплю машину“ и все такое», добавил Евдокимов на презентации под хохот аудитории.

Фрагмент из презентации Евдокимова с картой Сарова, на которую нанесены координаты пользователей OpenStreetMap

Координаты были распределены по Сарову равномерно — как и в случае с дагестанским селом, это говорит о том, что речь идет о координатах частных, а не корпоративных пользователей провайдеров, подчеркнул Евдокимов. Впрочем, там же программист обнаружил темы имейл-сообщений, предположительно отправленных подрядчиками и других научных организаций Сарова.

Обнаруженные Евдокимовым уязвимости не могли закрыть больше года

В июне 2018 года, после сообщений от Евдокимова, провайдеры начали закрывать страницы со статистикой. Тем не менее, по состоянию на 25 августа 2019 года, незакрытыми оставались шесть IP-адресов, подчеркнул он. Закрыли их только 26 августа — после того как телеграм-канал unkn0wnerror опубликовал презентацию c конференции Chaos Constructions.

«МФИ Софт» вместе еще с четырьмя организациями, поставляющими решения для СОРМ, входит в группу компаний «Цитадель». Та, в свою очередь, входит в структуры Антона Черепенникова — партнера миллиардера Алишера Усманова, писал РБК 7 августа (в пресс-службе Усманова «Медузе» уточнили, что Черепенников больше не является его партнером). «Цитадель» занимает от 60 до 80% на рынке СОРМ — по оценке ее крупнейшего конкурента, компании «Норси-Транс».

При этом именно «МФИ Софт» в 2018 году показала самый динамичный рост среди всех поставщиков СОРМ: ее выручка выросла на 294%, до 10,3 миллиарда рублей; а прибыль — на 298%, до 2,07 миллиарда.

«Медуза» отправила в группу компаний «Цитадель» запрос с просьбой прокомментировать содержание презентации Евдокимова. На момент публикации материала ответ на него не был получен. Сам Евдокимов сообщил «Медузе», что в июне 2019 года общался с одним из сотрудников «Цитадели» — и тот заверил, что в новых версиях софта для оборудования проблему устранили.

Петр Лохов