Финальная битва между добром и нейтралитетом

Прижимаем хакера к стенке

В понедельник мы выпустили очень важное для нас расследование. В нем мы подробно рассказали и доказали, кто стоит за утечкой почтовых адресов сайта «Свободу Навальному».

Хакером оказался бывший сотрудник ФБК Федор Горожанко. Нам бы хотелось верить, что это не он, потому что предательство со стороны бывшего коллеги — это больно, но факты говорят об обратном.

Федор (вот совпадение) занимался у нас как раз почтовыми рассылками.

С выпуска нашего расследования Федор раздал несколько интервью (1,2,3,4,5), в которых выбрал очень _необычную_ линию поведения. Он пытался убедить всех, что не причастен к взлому, тем, что подтверждал буквально каждый пункт из доказательств, которые мы собрали.

Ну смотрите сами.

Мы говорим, что Федор положил 1,2 миллиона рублей на счет.

Федор эти внесения наличных подтверждает. Но за день его показания меняются. Днем он говорит журналистам, что очень хорошо зарабатывает и 1,2 млн наличными он скопил с белой зарплаты:

После увольнения я устроился в нормальную фирму, с московской зарплатой — оттуда и поступления на мою карту.

https://t.me/bazabazon/7031

Но уже вечером это источником наличных денег оказывается не белая зарплата, а проданные биткоины:

— Откуда в апреле 2021 года вы взяли больше миллиона рублей в течение нескольких дней?

— Когда-то давно я покупал биткоин. Я решил снять. Это не такие большие деньги.

https://meduza.io/feature/2021...

Горожанко говорит, что он на самом деле был все время очень богат — и зарплата отличная, и биткоинов скопил. Но тут же сообщает, что сразу после получения денег на счет он вернул долг в 200 тысяч:

200 тысяч, которые я клал, — это я долг отдавал.

https://tvrain.ru/news/obvinen...

Мы говорим, что Федор делал рассылку по активистам из Санкт-Петербурга.

В январе нам пришли сообщения от сторонников из Санкт-Петербурга. Они пожаловались, что ни на чьи рассылки, кроме наших, не подписывались, но получили письма от некоего проекта «Горожанин», за которым стоит Федор Горожанко. В марте он же просил отправить ему денег:

Журналисты спросили его про эти рассылки, он подтвердил, что делал их.

— В расследовании есть еще один момент. Якобы вы крали данные у ФБК несколько раз. В качестве подтверждения приводятся ваши письма сторонникам Навального с просьбой поддержать вашу трансляцию с митинга 31 января и отправить вам деньги. Эти люди (получившие такие письма) говорят, что никаких данных вам не давали и вас не знают. Вы отправляли эти письма?

— Да…

https://meduza.io/feature/2021...

Но тут же отрицает: что он украл эти имейлы из базы ФБК.

В 2017 году я собирал подписи против передачи Исаакиевского собора Русской православной церкви. У меня была большая база подписантов, более 50 тысяч. Где-то в каких-то частях (список получателей) этой рассылки, видимо, совпадает с базой сторонников Навального.

https://meduza.io/feature/2021...

Можно было бы поверить даже в такую теорию, но слова Федора прочитали люди, которые оказались в этой самой рассылке. И они были очень удивлены. Вот примеры: один, два, три, четыре, пять, шесть, семь.

Мы говорим, что Федор заходил в свою почту на @fbk.info и скачивал базу.

И вот главное доказательство. Царь-доказательство. Остальные, в общем-то, можно было даже и не упоминать. Они идут просто как необязательные приятные дополнения.

Итак.

В конце марта началось воровство нашей базы с ip-адреса 31.200.238.184

Сам ip-адрес закреплен за Приморским краем:

Федор подтвердил, что был тогда в Находке (Приморский край)

В разговоре с «Бумагой» Горожанко сообщил, что жил в Находке во время карантина, но сейчас вернулся в Петербург.

https://paperpaper.ru/fbk-zay...

Теперь смотрим, где у нас еще засветился этот самый ip-адрес 31.200.238.184, с которого скачивалась база. А вот же он, пользователь gorozhanko заходил с этого ip в свою почту @fbk.info как раз перед взломом. И вы не поверите, он подтвердил, что заходил сам.

По словам Горожанко, в конце прошлого или начале этого года он понял, что письма с почты ФБК ему больше не приходят, и попытался понять, почему. Он попытался зайти в аккаунт, но не смог этого сделать.

https://tvrain.ru/news/obvinen...

На самом деле Федор проверял свою почту 1-2 раза в месяц, пока мы его не заблокировали. Каждый раз он заходил с одного и того же приморского ip-адреса 31.200.238.184 — того самого, с которого вскоре будет выкачиваться база данных.

А то, что это делалось не через почтовые программы, как он утверждает, а через браузер, видно в истории действий его аккаунта:

С этого же ip давно не работающий у нас Горожанко смотрел в конце декабря на гугл-диске рабочей почты ФБК свой старый документ «Как вручную сделать рассылку через Mailgun». Mailgun, напоминаю, именно тот сервис, через который мы отправляли рассылки. И из него была украдена база имейлов.

В этом документе есть ссылка на скрипт для рассылок, который написал Федор.

Внутри есть комментарии от Федора, папки с его именем, его имейл, указания в комментариях о том, что ключ можно найти в админке Mailgun.

Из этого скрипта, написанного в феврале 2019, мы можем точно узнать, что Федор и программировать умеет, и секретный ключ у него был, и он прекрасно знает, какие данные по этому ключу доступны, как бы он сейчас ни выкручивался:

Обновление. После публикации новости Горожанко уточнил, что не знает, был ли у него API-ключ, так как он использовал MailGun только для просмотра статистики.

https://tvrain.ru/news/obvinen...

А теперь опять про поездки Федора. В его интервью есть слова «вернулся в Петербург». Они для нас тоже важны. Потому что после того, как Федор прилетел из Приморья в Санкт-Петербург 29 марта, воровство базы продолжилось с ip-адреса, привязанного к Санкт-Петербургу.

На этом можно заканчивать обсуждение. Горожанко признал, что ip-адрес 31.200.238.184 в Приморском крае использовался им. С этого адреса он заходил в свою почту, с этого же адреса выкачивалась база почтовых адресов, которая потом использовалась для запугивания и увольнения невинных людей. Совпадение по ip — доказательство для всех судов в мире. С этим доказательством Федору не отвертеться.

Мы готовим заявления в правоохранительные органы России и стран, граждане которых попали в базу и которые получали угрозы. С Россией все понятно, заказчики взлома вряд ли проведут хорошее расследование и накажут сами себя, хотя мы, разумеется, будем этого добиваться. Но вот если у вас вдруг есть второе гражданство или ВНЖ в европейской стране, то напишите нам на pravo@navalny.com, и мы вместе сделаем так, чтобы ответственность для Федора Горожанко и тех, кто стоит за этим взломом, могла наступить и в других странах.

Поддержать ФБК
Подпишись на рассылку
чтобы получать короткий обзор лучших постов недели
Уведомления