Взлом ФБК – исключительно вина Волкова

  • 495     3

Незадолго до взлома ФБК и утечки базы адресов подписавшихся на митинг за свободу Навального, мы с товарищами обсуждали технические моменты и в том числе опасность использования сторонних сервисов.

Как пример я тогда привел как раз тот факт, что ФБК рискует, используя для рассылки mailgun, который конечно американская контора, но в этой конторе работают люди, которых могут банально подкупить, предложив админу небольшой штатовской кампании годовую зарплату за две минуты работы.

Жданов сейчас утверждает, что без стороннего сервиса разослать миллион писем невозможно, что только сторонний сервис позволяет контролировать рассылку и учитывать какие письма ушли, а какие застряли но это полная ерунда. Прямые руки в совокупности с более или менее грамотной головой за сутки настроят тот же Postfix по всем современным требованиям, а элементарный анализ логов, плюс пара хитростей внутри письма, позволяют учитывать открывал ли человек письмо и переходил ли по ссылкам в нем без всяких посторонних контор.

Более того, поскольку мы говорим не о рассылке, а о процедуре регистрации, которая была растянута во времени и в редких пиках требовала отправку тысячи писем в минуту, а в основном нагрузка была не более пары тысяч в час, то внешний сервис был абсолютно не нужен. С такой задачей справилась бы почтовая служба на VPS сервере, арендованном за пару долларов в месяц.

Что в этой истории меня убивает окончательно, так это озвученный в ролике факт, что в организации, за которой охотятся тысячи провластных чиновников и силовиков, доступ к ключу со всей базой рассылки есть не у одного человека, типа проверенного Волкова, находящегося заграницей, а у нескольких людей. Причем как я понимаю, в том числе живущих в России, и которых если не купить, то по варианту Голунова легко могут вынудить выдать этот ключик.

Но и это ерунда, относительно заявления Жданова, что доступ у бывшего сотрудника ФБК сохранился по прошествии нескольких лет после увольнения. Мало того что ребята не меняют ключи доступа когда от них уходит сотрудник, они годами не меняют ключи доступа. О чем думает великий ИТ-шник Лёня Волков?

Сразу после утечки Жданов рассказывал о том, что, дескать, не беспокойтесь, утекли только адреса электронной почты, и лично я тогда сразу сказал, что имеющий каплю мозга АПшник сведет эту базу с ГосУслугами и mos.ru, что и было сделано.

Больше скажу, из опубликованных в утекшей базе 447880 верифицированных адресов подписантов ФБК, 57% могли оказаться, и скорее всего оказались у властей без всякой утечки, так как 258 тысяч пришлось на ящики @mail.ru, @yandex.ru, @rambler.ru, @list.ru, @bk.ru и @inbox.ru. Российские почтовые системы сливают по запросу властей информацию о том, кто получает ту или иную рассылку. И это не теория, а проверенная прецедентом практика.

Резюмируя. То что у ФБК не было много лет утечек данных, чем они очень гордились это не заслуга, а исключительно некомпетентность противников ФБК.

Интересна статья?

0 комментариев *

  1. Станислав Швед     #1     0  

    Алексей. Не вполне понятна цель этой публикации. Техническая и, полагаю, явно не политическая. Но оставим в сторонке проблемы ФБК. У вас то, полагаю, иные политические убеждения. Обратимся к Bашему OpenTown. Вы писали здесь, что модераторы есть. Но мух они не ловят. Оскорбления, в том числе и матом, на ОГ нередки и уже вполне вырисовываются в систему. Почистить не желаете?

    ответить  
  2. Демокрит     #2     0  

    Уважаемый Алексей , спасибо за предупреждения о безопасности . Многие из нас и я в том числе как то беспечны в этом плане .

    ответить  
  3. Демокрит     #3     +1  

    Приходилось видеть , как работает ФБК . Снимаю шляпу . Горжусь , что они тоже русские .

    ответить