Взлом почты журналиста «Новой газеты» выявил большую дыру в системах безопасности электронной переписки. Объяснительная записка Романа Анина, редактора отдела расследований, читателям «Новой»
Взлом почты журналиста «Новой газеты» выявил большую дыру в системах безопасности электронной переписки
Иллюстрация: Петр САРУХАНОВ — «Новая»
В августе я находился в Риге по приглашению местного филиала Стокгольмской школы экономики, где читал лекции студентам и журналистам о теневой экономике и об отмывании денег. 18 августа с утра я попробовал открыть электронную почту, чтобы проверить сообщения, и понял, что меня взломали. Мой почтовый клиент отказывался соединяться с сервером Google и требовал ввести новый пароль.
К счастью, в настройках моего аккаунта был указан резервный электронный адрес, с помощью которого я восстановил контроль над основной почтой. Я проверил последние действия с моим аккаунтом, и все сомнения отпали: 17 августа кто-то с IP-адреса, указывающего на немецкую коммуну Рефельде, сменил мой пароль и получил контроль над почтой. Через полчаса была предпринята еще одна попытка входа в мой аккаунт — на этот раз со швейцарского IP. Эта попытка была воспринята Google как сомнительная и предотвращена.
Такие действия указывают, скорее всего, на то, что хакеры использовали программу Tor, чтобы скрыть свое местоположение и реальный IP-адрес, а повторная попытка входа в мою почту — это просто смена исходящей «ноды» Tor. Оставался главный вопрос: каким образом хакерам удалось сменить мой пароль?
Надо признаться, что взлом почты не сильно удивил меня. После недавних громких публикаций отдела расследований «Новой газеты» — о незадекларированной квартире первого замдиректора ФСБ, о сделках 20 генералов ФСБ с землями бывшего детсада на Рублевке и многих других — мы получали предупреждения от разных людей: возможны провокации, главная цель которых — найти и наказать наши источники.
К сожалению, некоторые люди, о которых мы пишем, в силу своей профессиональной деятельности имеют неверные представления об окружающем мире. В их воображении — и об этом я сужу не теоретически, а постоянно общаясь с их «послами», — любая публикация газеты кем-то инспирирована, и этот кто-то, не уставая, носит нам чемоданы компромата. Переубедить этих людей, доказать им, что большинство наших расследований основано на открытых данных, — невозможно: с профессиональной деформацией личности трудно бороться.
Поэтому в последнее время сотрудники отдела расследований «Новой газеты» жили в… скажем, немного более интенсивном графике. Например, за мной велось довольно грубое наружное наблюдение. Люди, которые следили, даже не пытались этого скрывать. Я встречаюсь в кафе с друзьями; через минуту приходят двое мужиков; пьют весь вечер бокал пива (бюджет, к сожалению, на подобные мероприятия ограничен); а когда мы ночью с друзьями расходимся, их тормозит непонятно откуда взявшийся сотрудник полиции и переписывает паспортные данные; а потом те же двое мужиков сопровождают моих друзей до дома. Этот пример — не единичный.
Мы не делали из подобных историй шума, считая их частью профессии. Ну бывает, не в первый раз, в общем-то. Мы бы не рассказали и об этом взломе, если бы не способ, которым он был осуществлен. И мы считаем необходимым предупредить о выявленных уязвимостях.
Мою почту пытались взломать на протяжении последних месяцев. Вначале это делалось в лоб: я постоянно получал поддельные письма якобы от Google, в которых говорилось, что мой аккаунт заблокирован, нужно перейти по ссылке и ввести пароль, чтобы его разблокировать. Все ссылки были замаскированы под Google, но, естественно, не имели к нему никакого отношения.
Но затем от лобовых попыток отказались. Способ, которым в итоге взломали мою почту, говорит о том, что это не были обычные хакеры, охотящиеся за банковскими картами граждан. Более того, мы считаем, что этот способ таит в себе огромную общественную опасность и может привести к провокациям не только в отношении журналистов.
Итак, вернувшись из Риги, я обнаружил, что вдобавок ко всему не работает и мой телефон. Здесь необходимо сделать два отступления. Во‑первых, моя сим-карта была оформлена на друга. Не потому, что я скрывался, а просто так сложилось исторически: он мне ее подарил еще лет 10 назад. Во‑вторых, мой номер телефона был привязан к аккаунту Google в качестве резервного способа восстановления пароля. Это и стало главной уязвимостью.
Я позвонил в компанию МТС, где мне сообщили «радостную» новость. Моя сим-карта и не может работать, потому что еще 14 августа кто-то от имени моего друга позвонил в МТС, назвал его паспортные данные, заявил, что потерял сим-карту, что находится в некоем регионе России, и попросил доставить новую «симку» в этот регион курьером. Здесь важно подчеркнуть, что «симка» была оформлена на старый паспорт, а с тех пор мой друг получил новый. Но мошенники об этом, видимо, знали и не допустили ошибки, а назвали оператору МТС именно старые данные. Значит, у этих людей был доступ к базе сотовой компании.
Курьер вез сим-карту три дня и доставил ее 17 августа. В этот же день и была взломана моя почта. Сделав дубликат моей «симки», хакеры сообщили Google, что забыли пароль и попросили прислать код восстановления на мобильный телефон. Получив код, они сменили пароль и вошли в мой аккаунт.
Опять же стоит признать, что взломщики хорошо подготовились. Дело в том, что я не пользуюсь за границей услугами роуминга — просто потому, что считаю тарифы наших сотовых операторов сумасшедшими. Поэтому обычно я покупаю местные «симки». Хакеры об этом, видимо, знали и понимали: я не смогу сразу определить, что мой российский номер «выключили».
У меня, конечно, остаются вопросы к компании МТС. Ну, допустим, это обычная услуга — доставить сим-карту якобы владельцу, который назвал по телефону правильные паспортные данные. Но почему тогда курьер не проверил паспорт заказчика на месте? К сожалению, в компании МТС мою жалобу рассматривают уже две недели и никаких подробностей мне не сообщают. А мне бы очень хотелось узнать: с какого номера поступил заказ, почему курьер не проверил паспорт, по какому адресу осуществлялась доставка? Я все-таки надеюсь, что получу ответы на эти вопросы, хотя бы потому, что сотрудники МТС, полагаю, сами того не зная, способствовали совершению преступления.
Если клонировать сим-карты так легко, то это — колоссальные возможности для любых провокаций, и не только с почтой. Получив контроль над номером, можно, например, отправить кому-то смс с угрозами или вымогательствами. А дальше достаточно одного свидетеля или потерпевшего с хорошей легендой — и дело готово. А зная, как наши судьи рассматривают доказательства и пишут приговоры, повторяя орфографические ошибки из обвинительных заключений, то в том, что такое дело устоит в суде, сомневаться не приходится.
Но есть в этой истории и что-то положительное, на мой взгляд. Надеюсь, что те люди, которые получили доступ к моей почте, наконец поймут, как мы работаем на самом деле, и перестанут тратить свое важное время и бюджетные деньги на поиск мифических персонажей с чемоданами компромата.
Ну а мы, в свою очередь, отправим заявление о преступлении в правоохранительные органы.
UPD. Сегодня стало известно, что такая же история случилась и с другим корреспондентом отдела расследований «Новой газеты» — Сергеем Каневым. У него тоже неожиданно отключился телефон. Когда Сергей пришел в офис «Билайн», ему сообщили, что его «симка» не работает потому, что два дня назад «он ее поменял».
Случай Канева — еще хуже, чем мой. Сотрудник «Билайна» не мог поменять сим-карту без паспорта первому встречному. Такому поведению может быть только два объяснения. Безумное: кто-то переоделся Каневым и подделал его паспорт. И реалистичное: кто-то показал такие удостоверения, что страх перед ними заставил сотрудника «Билайна» пойти на подлог.
Спасибо, теперь на почту вам будут приходить письма лично от редакторов «Новой»