В день выборов президента Кыргызстана 15 октября аноним под ником "suppermario12" разослал некоторым СМИ электронное письмо, что ему удалось взломать сайт samara.kg. По его словам, это ресурс, через который якобы контролировали агитаторов и избирателей. Хакер утверждает, что на сайте содержались данные около 2 миллионов избирателей, в частности, студентов и бюджетников. Принцип работы ресурса аноним объяснил в двухминутном видео.
Вокруг этого заявления началось разбирательство — новостной сайт Kloop.kg провел расследование, после которого обвинил Государственную регистрационную службу при правительстве КР в содействии в обеспечении работы сайта samara.kg. А ГРС в свою очередь опровергла обвинения и заявила о намерении добиться опровержения через суд. Сегодня заходить на данный сайт нецелесообразно, так как он представляет собой сервис по очистке ковров. Кстати, дизайн точь-в-точь взят с другого сайта.
В чем суть?
По словам хакера, некоторые люди, зарегистрированные в системе samara.kg, дали ему свои учетные записи, после чего программист взломал сайт и перенаправил его на свой сервер. Это произошло за день до выборов. После чего все, кто заходил на сайт, видели вышеуказанное видео.
Как утверждает Kloop.kg, когда владельцы системы обнаружили вмешательство, на сервер ГРС был переведен другой домен — mls.kg. Новостной сайт заявил, что в день выборов функции "самары" выполнял сайт mls.kg.
"После выборов оба домена — и samara.kg, и mls.kg — вернулись на свои серверы и стали снова выглядеть невинно. Только samara.kg превратилась в сайт сервиса по чистке ковров, a mls.kg стала агентством недвижимости", — написал автор статьи.
Где правда?
Разобраться в вопросах агентству Sputnik Кыргызстан помог IT-специалист Михаил Дудин. По его словам, есть несколько интернет-ресурсов и инструментов, которые могут помочь проверить заявление хакера. В основном все аргументы спорны, но есть один факт — домены samara.kg и mls.kg ранее имели связь, и это доказывает проверка кэша в Google.
Если ввести в поисковой строке "site:samara.kg", то Google выдаст результаты с заголовком "mls.kg". Если посмотреть на сохраненные копии страниц, видно, что они были сделаны в августе 2017 года.
На этом аргументы, доказывающую теорию, заканчиваются и начинаются доводы, которые нельзя ни подтвердить, ни оспорить.
Первый спорный момент
Есть сайт web.archive.org, где в поиск можно вбить название домена и посмотреть, как эту страницу видели люди, зашедшие на сайт. Если поискать samara.kg, то показаны лишь две даты — 15 и 16 октября.
Разработчики web.archive.org поясняют, что ресурс делает снимки сайта, только когда на него где-либо ссылаются. Возможно, снимок был сделан, когда сам же хакер опубликовал на форуме Diesel.elcat.kg текст заявления, которое часами ранее он разослал в СМИ.
При этом возможно, что снимки также не делались из-за того, что администрация сайта samara.kg обошла автоматические сканеры либо потребовала исключить их из Wayback Machine (так называется инструмент, делающий снимки).
Что касается сайта mls.kg, то в 2016-м и 2017 годах периодически ресурс делал снимки, показывающие, что ранее это был сайт агентства недвижимости, но затем постепенно частота создания скриншотов сервером archive.org упала.
Второй спорный момент
Узнать, какие изменения претерпели домены samara.kg и mls.kg, могут помочь два сайта — cctld.kg и DNSTrails.
Последний не выдает данные о "самаре", однако есть информация про mls.kg. В частности, указано, что 14 октября он действительно получил IP-адрес сервера ГРС, а на следующий день вернулся "на место" — то есть на частный хостинг. Убедиться в этом можно, пройдя по ссылке и прокрутив страницу до самого низа.
По данным cctld.kg, последние изменения произошли 15 октября 2017 года. Однако эти два факта не говорят о причастности ГРС.
"Это можно сделать и без участия ГРС или какого-либо другого сервера. Замена настроек домена — лишь косвенный признак", — объяснил IT-специалист.
При этом, согласно закрытым данным ресурса reg.com, если изменения домена samara.kg имели место, то не на сервере "Азияинфо" (администратора зоны.kg), а на сервере частной хостинговой компании. Это могло произойти, если хакер имел доступ к хостингу "самары".
Третий спорный момент
Хакер утверждает, что до того, как он взломал samara.kg, при входе на сайт предлагалось пройти авторизацию в "систему контроля избирателей". Однако, как показывает кэш в Google, нет ни одной сохраненной копии страниц samara.kg и mls.kg.
Впрочем, это может объясняться и тем, что администрация сайта могла попросить Google скрыть сохраненные поисковиком копии.
Четвертый спорный момент
Единственным доказательством работы базы является видео, сделанное хакером. Его нельзя назвать ни правдивым, ни лживым, так как подобную видеозапись можно сделать про любой домен и разместить там любой контент. При этом на оригинальном сайте это никак не отразится.
Ответ ГРС
Государственная регистрационная служба при правительстве КР не вдавалась в подробности, но опровергла свою причастность. В субботу ведомство заявило, что на его веб-серверах не содержался частный сайт, этого не могло случиться.
"Ни один сервер или база данных не содержит одновременно все данные паспортов, ПИН или же биометрические данные. Сведения о гражданах хранятся в десятках отдельных баз. Доступы ко всем информационным системам строго регламентированы, прямого доступа к данным никто не имеет", — говорится в заявлении.
Итог
По мнению IT-специалиста Михаила Дудина, информация о "самаре" может быть как правдой, так и ложью. Проблема в том, что сегодня доказать что-либо невозможно, потому что данные, если они существовали, могли быть удалены. Однако у эксперта возникает несколько вопросов.
"Почему хакер изменил настройки домена и снял видео, а не выложил в Интернет логины и пароли, которые он получил? Зачем в видео дана субъективная оценка определенному человеку? Получилось так, что хакер выложил компромат вместе с перенаправлением домена, что отрезало возможность проверить доводы в видео сразу же", — сказал Дудин.
Специалист считает, что для того, чтобы сделать однозначные выводы, нужно провести тщательное расследование.
