Pixabay.com
 
 
 

Программист Леонид Евдокимов обнаружил в открытом доступе различные данные сотен российских пользователей, попавшие в Сеть из-за некорректной работы оборудования СОРМ (Система технических средств для обеспечения функций оперативно-розыскных мероприятий), которое должны устанавливать провайдеры для исполнения требований российского законодательства.

25 августа Евдокимов выступил на IT-конференции Chaos Constructions в Санкт-Петербурге, где представил доклад под названием "Проруха на СОРМ". В ходе выступления он рассказал, что в апреле прошлого года прошлого года знакомый показал ему IP-адрес из сети "Ростелекома", на котором в открытом доступе находилась некая статистика пользовательского трафика, пишет "Медуза".

По характерному распределению трафика в зависимости от времени суток Евдокимов предположил, что IP-адрес имеет отношение к оборудованию, которое занимается прослушкой. После этого с помощью сканера Zmap он нашел 30 подобных адресов в сетях как минимум 20 российских провайдеров. Далее Евдокимов нашел на этих IP-адресах открытые FTP-сервера, а также "прямой эфир" трафика. В транслируемых данных обнаружились телефоны пользователей, адреса электронной почти, GPS-координаты и другие сведения, которые, по всей видимости, передавались недостаточно защищенными смартфонами с устаревшими прошивками, позволяя идентифицировать их владельцев. Так, с помощью этих данных Евдокимов смог с высокой степенью вероятности определить, что в Сеть транслировались данные жителей дагестанского села Новосельское и закрытого города Саров. Во втором случае Евдокимов смог найти среди данных темы электронных писем, предположительно, отправленных подрядчиками Российского федерального ядерного центра и других научных организаций Сарова.

"Как честный человек, я перво-наперво отправил сообщения об этом провайдерам, чтобы разобрались, что это такое. Мне ответили, что это стандартная "коробка" от разработчика СОРМ и системы "Ревизор", – рассказал Евдокимов на конференции, уточнив, что один из собеседников сообщил ему, что речь идет об оборудовании компании "МФИ Софт", которая является одним из крупнейших российских поставщиков систем СОРМ.

В июне прошлого года провайдеры, к которым обратился Евдокимов начали закрывать доступ к данным. Однако ко дню выступления программиста с докладом незакрытыми оставались шесть IP-адресов. Доступ к ним был закрыт 26 августа, после того как на презентацию Евдокимова обратил внимание IT-эксперт Владислав Здольников.

Журналисты "Медузы" обратились за комментариями в "МФИ Софт" (входит в группу компаний "Цитадель"), но пока не получили ответа. При этом Евдокимов рассказал, что в июне говорил с одним из сотрудников "Цитадели", который утверждал, что в новых версиях софта для оборудования СОРМ устранили ошибку, приводившую в попаданию данных в открытый доступ.