В ночь на 25 мая неизвестные с иностранными IP-адресами устроили атаку на Telegram-аккаунты российских журналистов. Павел Дуров обвинил в этом российские власти и призвал всех пользователей мессенджера включить в настройках приложения дополнительный способ защиты — двухэтапную аутентификацию.
Cооснователь проекта «Digitalsecuritysimple», эксперт по цифровой безопасности Николай Квантилиани предполагает, что оператор связи мог обеспечить доступ к сим-карте журналистов по запросу спецслужб. Он рассказал «МБХ медиа», как защитить свой аккаунт в Telegram и что делать, если вас все-таки взломали.
Ночной звонок
25 мая в 6 утра я проснулась и узнала, что всю ночь моим аккаунтом в Telegram пользовались неизвестные. «Мы обнаружили вход в ваш аккаунт с нового устройства. Устройство Android. Место входа: Санкт-Петербург. Россия. IP=217.66.152.67». Позже было еще несколько таких входов, IP в каждом случае менялся, как и страна. Чаще всего аккаунтом пользовались из США — вероятно, злоумышленники пользовались анонимайзерами.
Из истории активности (ее можно посмотреть в приложении Telegram) стало ясно, что читали мою переписку со смартфона LG, потом перешли на Web-версию и заодно скачали все файлы, которые находились в чатах.
Я не опасаюсь, что моя переписка с друзьями окажется в публичном доступе в издании «ФАН», на телеканалах «НТВ», «Россия-24», в эфире Дмитрия Киселева и других провластных порталах. Ничего противозаконного я не писала. Под угрозой моя профессиональная деятельность: значительная часть сообщений и в аккаунте — мои переговоры с конфиденциальными источниками, героями публикаций и редакторами.
Мои последние публикации были связаны с военным участием РФ в Сирийском конфликте, сомнительными операциями РПЦ, преступлениями священнослужителей, преследованием моей подруги и коллеги журналистки Светланы Прокопьевой и деятельностью региональных оппозиционеров. 24 мая мы с коллегой снимали сюжет с вдовой погибшего в Сирии псковского десантника, были в военкомате, где наши данные переписали и съемку запретили.
От главреда «Znak.com» Дмитрия Колезева я узнала, что ломали в эту ночь не только меня. «Какие-то добрые люди пытались ночью получить доступ к моему аккаунту в Telegram (с испанского айпишника). Но споткнулись о двухэтапную аутентификацию. Передаю им привет. (Кстати, можете сильно уж не стараться, там ничего особо интересного)», — написал Колезев и рассказал, что также пытались взломать Telegram-аккаунт заместителя главного редактора Ura.ru Антона Ольшанникова и еще двух уральских журналистов, которые активно освещали протесты, вызванные строительством храма в Екатеринбурге. Все попытки взлома были совершены с испанского IP-адреса.
Редакция издания «Код Дурова» считает, что злоумышленники получили доступ к номеру (сим-карте) журналиста. И говорят о двух версиях произошедшего: либо у неизвестных был физический доступ к телефону или сим-карте Дмитрия Колезева, либо с помощью мобильного оператора они смогли временно изменить привязку его номера к другой сим-карте, которая была у них на руках.
В моем случае ночью также приходил код в смс-сообщении. Так как двухэтапной аутентификации не было, злоумышленники, считав код из смс, успешно вошли в аккаунт.
«Сегодня российские власти пытались взломать [аккаунты] четырех журналистов, освещающих протесты в Екатеринбурге. К счастью, все эти попытки провалились из-за двухфакторной верификации. Случившееся напоминает нам о том, что власти авторитарных стран ни перед чем не остановятся, чтобы нарушить конфиденциальность своих граждан», — отреагировал на событие основатель Telegram Павел Дуров.
Причем тут храм?
К обеду о попытке взлома Telegram-аккаунта с испанского IP также сообщилдиректор коммуникационного агентства Magic Inc Платон Маматов. «Да, меня тоже попытались вскрыть „испанцы“. Казалось бы, при чем тут храм:)», — написал Маматов.
Дмитрий Колезев предполагает, что попытки взлома екатеринбургских журналистов могли быть связаны с тем, что они активно освещали протесты из-за строительства храма в Екатеринбурге.
У меня в это же время в МБХ медиа и на Радио Свобода вышло два материала о РПЦ — в одном шла речь о пьяном иеродиаконе, устроившем ДТП, где жертва три месяца находилась в лежачем состоянии и только сейчас начала потихоньку вставать. В другом — о протоиерее Александре Ильницком, который решил снести детскую площадку в Новосокольниках, и вопреки протестам жителей на ее месте поставить трехметровый памятник Святителю Николаю. Обе публикации получили резонанс и, по словам одной из героинь, привлекли внимание «правоохранительных органов и разных служб».
«Скорее всего, взлом произошел через оператора»
«Все, что синхронизируется с облаком, они у вас скачали. Произошел взлом учетной записи и получен доступ ко всей коммуникации (текст/пересланные файлы, контактный лист) — сообщил мне сооснователь проекта „Digitalsecuritysimple“, эксперт по цифровой безопасности Николай Квантилиани. — И тут возникает вопрос, как именно взломали, потому что для взлома должен быть доступ к телефону или сим-карте. Скорее всего, взлом произошел через оператора».
Для логина на новом устройстве Telegram предлагает использовать номер телефона в качестве идентификатора пользователя. Смс-сообщение в этой ситуации служит способом проверки. Соответственно, злоумышленнику необходимо перехватить эту авторизующую пользователя смску.
«И здесь есть несколько вариантов. Первый, когда взломщик делает дубликат сим-карты и подключает ее (тогда сим-карта пользователя становится временно неактивной, так как одномоментно может работать только одна сим-карта, привязанная к номеру). И тогда претензию нужно предъявлять оператору за халатность сотрудников, которые без достаточного основания и запроса пользователя сделали дубликат сим-карты. Второй — когда злоумышленник имеет доступ к оборудованию СОРМ, установленному на уровне оператора, предоставляющие услуги GSM-связи. В этом случае надо уточнять у органов правопорядка, на каком основании это сделано», — объясняет Николай Кванталиани.
«„Tele2“ не выдает ваши данные никому. И смс поступают вам из смс-центра. По этому вопросу вам стоит обращаться в Telegram. Мы предоставляем ответы на вопросы, связанные с услугами связи», — заявил мне старший оператор «Tele2» Денис и несколько раз подчеркнул, что не несет ответственность за Telegram.
В «Tele2» также отказались зарегистрировать претензию по телефону и посоветовали воспользоваться личным кабинетом.
«Если произошел перехват на уровне оператора, последний это точно не признает, — убежден Николай Кванталиани. — Есть, конечно, вариант, что перехват был на уровне устройства (использовалась шпионская программа), но это маловероятно».
Вечером 25 мая со мной связался представитель силовых структур, попросивший не называть свое имя в публикации, и сообщил, что мой номер может «уже давно стоять на прослушке». Разрешение на это, по его информации, мог дать Псковский областной суд.
Источник предполагает, что основанием для решения суда стало уголовное дело, в рамках которого и ведется оперативно-розыскная деятельность. Мой собеседник не смог назвать статью УК РФ, по которой возбуждено уголовное дело. «Когда задержат — узнаете статью», — уклончиво заявил он.
«Не используйте номера российских операторов»
В ситуации, когда ваш аккаунт уже взломали, Николай Кванталиани рекомендует поступать следующим образом: проинформировать ваших друзей и коллег, посмотреть какая информация была похищена, продумать стратегию поведения, если информация станет общедоступной и публичной или будет использоваться для оказания давления на вас, а на будущее использовать дополнительные меры защиты для чувствительной переписки — двухэтапную аутентификацию, секретные чаты, мессенджеры, которые используют шифрование от устройства до устройства (end-to-end).
Эксперт по цифровой безопасности советует не использовать номера российских мобильных операторов как второй фактор и для привязки к аккаунтам, использовать мессенджеры, которым не требуется телефонный номер для авторизации пользователя, использовать секретные чаты и удалять чувствительную коммуникацию после завершения разговора.
«Ситуация с репрессиями журналистов в России становится, к сожалению, печальной реальностью нежели новостью, которая может удивлять, — считает Кванталиани. — Поэтому нужно комплексно подходить к вопросам защиты журналистов (контакты, источники информации и сами журналисты). Важно, что этот вопрос безопасности стал важным для журналистов редакций и людей, которые предоставляют информацию журналистам».
Автор: Людмила Савицкая; MBK.news