История IT-провалов ФБК

В январе этого года Леонид Волков в интервью Юрию Дудю рассказал, что его главная мечта после победы над Путиным — уехать в Кремниевую долину «делать стартап». По словам Волкова, у него есть «несколько идей проектов», которыми он хочет заняться вот уже много лет, но не может из-за политической деятельности.

На протяжении всей своей карьеры руководитель политических проектов Фонда борьбы с коррупцией создавал имидж айтишника в политике: до избрания в Екатеринбургскую городскую думу в 2009 году он успел поучаствовать в чемпионате мира по программированию, отучиться на математико-механическом факультете Уральского государственного университета и поработать заместителем гендиректора в «СКБ Контур».

После прихода в политику Волков также сфокусировался на IT. В 2012 году в ЖЖ он писал, что ему интересна «проработка и решение организационных вопросов, создание работающих систем и структур, особенно — на стыке ИТ и политики».

Но если оценивать компетенции одного из ключевых руководителей ФБК не по его рассказам, а по опыту реализованных им IT-проектов, становится очевидно, что история фонда — это череда технических сбоев и сливов.

Port рассказывает о самых громких случаях IT-провалов ФБК.

Сбой в электронной системе голосования в Координационный совет оппозиции

Сегодня это трудно представить, но в 2012 году Леонид Волков был одним из пионеров систем дистанционного электронного голосования в России. Тогда в октябре проходили выборы в Координационный совет оппозиции — совещательный и организационный орган, состоящий из представителей разных оппозиционных политических групп. Волков вызвался провести выборы в него онлайн.

Для этого команда программистов под руководством политика создала сайт Центрального выборного комитета, www.cvk2012.org, где избиратели могли проголосовать за понравившегося кандидата в КС. На выборах применялась двухступенчатая система регистрации: нужно было не только указать номер своего телефона, но и пройти верификацию: сфотографироваться с паспортом или перевести небольшую сумму (до 10 рублей) на счёт ЦВК.

На этапе регистрации избирателей случился конфуз: чистоте облачной демократии помешали сторонники Сергея Мавроди, основателя финансовой пирамиды МММ. По данным Центрального выборного комитета, на выборы в КС их зарегистрировалось около 30 тысяч, а сам Мавроди за четыре дня до выборов пообещал «получить весь совет». Испугавшись этого, организаторы голосования отменили регистрацию сторонников МММ, и те не смогли очернить свободный демократический процесс своими голосами.

По данным ЦВК, всего для участия в выборах в КС зарегистрировались около 170 тысяч человек. Верификацию прошли примерно 98 тысяч, а проголосовали в итоге почти 82 тысячи человек.

Голосование началось 20 октября, но продолжалось недолго: команда Волкова не смогла защитить сайт от DDOS-атак и уже через несколько минут сайт обвалился под волной запросов на сервер.

До начала голосования Волков уверял, что главный сервер, который обрабатывает запросы при голосовании в КС, находится в Калифорнии и снабжён системой фильтрации трафика, защищающей от DDoS-атак, а также аппаратным и программным файерволлами. Но это не помогло (или просто не было правдой): после нескольких часов попыток восстановить работоспособность организаторы заговорили о возможном продлении голосования из-за сбоя.

Волков реагировал на этот провал почти в прямом эфире: в это время его снимал оператор-документалист Александр Расторгуев для документального фильма «Срок». На камеру Волков списал сбой на «свои технические ошибки» и сослался на «молодую команду программистов».

«Я, честно говоря, сейчас думаю, что дело не в атаках. Они есть, но не такие, чтобы… не такие уж ужасные. Я уверен, что ребята что-то поломали в ходе этого панического переписывания», — сказал Волков.

В итоге поднять сайт удалось только на следующий день, а голосование в КС продлили до 22 октября. Первое место в нём занял Алексей Навальный.

Утечка персональных данных московской Команды Навального

Первая из серии утечек данных сторонников ФБК произошла не в 2021 году, как принято считать, а в августе 2019-го.

В Telegram-чат сторонников Навального неизвестные выложили Excel-файл с персональными данными активистов его предвыборного штаба в Москве. Файл «База.xlsx» размером 242 Кб содержал 3 198 записей, включая фамилию, имя, отчество, адрес, номер паспорта, телефон и дату рождения.

Кто стоял за сливом, точно неизвестно. Команда ФБК его публично никак не комментировала, а сам файл быстро удалили из чата и каналов, успевших его репостнуть. Администраторы канала «Утечки информации» предположили, что от файла избавилась сама администрация мессенджера.

Тем не менее, специалисты успели сохранить базу и опубликовали её на форумах в формате Cronos.

Слив базы сайта «Свободу Навальному!»

Самым провальным в IT-смысле годом в истории ФБК стал 2021. В апреле этого года злоумышленники получили доступ к базе данных электронных почт сайта «Свободу Навальному!».

Ресурс создавался в рамках кампании в поддержку Алексея Навального, которого в начале года задержали по прилёте в московский аэропорт Шереметьево и отправили в СИЗО. В последствии суд заменил ему условный срок по так называемому делу «Ив Рош» на реальный.

На сайте регистрировались сторонники, готовые участвовать в митингах. Кампания стартовала 23 марта 2021 года, и команда Навального планировала объявить общероссийский протестный митинг после регистрации 500 тысяч человек.

Об утечке стало известно в ночь на 16 апреля. База содержала 529 тысяч электронных адресов, а также даты регистрации и подтверждения. Злоумышленники разослали зарегистрированным пользователям письма с прикрепленным архивом, содержащим эти данные.

В письмах, отправленных с адреса noreply@navalnyfail.online, хакеры заявили, что планируют деанонимизировать пользователей и получить их имена, телефоны и адреса, а затем продать данные рекламным компаниям. Директор Фонда борьбы с коррупцией Иван Жданов подтвердил подлинность утекшей базы, отметив, что она содержит только электронные адреса без фамилий, имён или других персональных данных.

В результате расследования утечки выяснилось, что для рассылок писем ФБК использовал американский сервис Mailgun, доступ к которому имели уже уволенные сотрудники.

31 мая 2021 года ФБК опубликовал расследование, в котором указал, что за утечкой стоит бывший сотрудник фонда Фёдор Горожанко из Санкт-Петербурга. По данным ФБК, утечка произошла через Mailgun с использованием секретного API-ключа, который фонд не отозвал и не поменял после увольнения Горожанко.

В ФБК отметили, что у Горожанко были долги по микрокредитам в размере 96 тысяч рублей, но в апреле 2021 года он внес на свой счет 245 тысяч рублей, а затем ещё 995 тысяч рублей. В фонде заявили, что получили эти данные через свой анонимный «Чёрный ящик».

«Медуза» провела собственное расследование и выяснила, что заказчиками взлома могли быть сотрудники администрации президента РФ Андрей Ярин и Михаил Дудин.

Бывший консультант ФБК по кибербезопасности Владислав Здольников раскритиковал ФБК за слив и рекомендовал фонду усилить меры информационной безопасности. Как выяснилось позже, в организации к нему не прислушались.

Уязвимость на сайте «Умного голосования»

В июле 2021 года, пользователь «Хабра» под ником grumpysugar рассказал об уязвимости на сайте «Умного голосования», которая позволяла получить доступ к адресам электронной почты зарегистрированных пользователей. По его словам, уязвимость давала доступ к журналу технической информации за 40 дней. По мнению пользователя, из-за этой «дыры» в сеть могли попасть данные зарегистрировавшихся на сайте пользователей.

Команда Навального подтвердила наличие ошибки и обвинила в ней одного из программистов. Фонд сообщил, что устранил уязвимость «в течение нескольких минут после уведомления». Сотрудника, допустившего ошибку, временно отстранили, но после проверки вернули к работе, не найдя «злого умысла».

При этом соратники Навального отрицали тот факт, что из-за уязвимости произошла утечка базы данных о пользователях «Умного голосования». Как выяснилось позже, они ошибались.

В том же месяце в Telegram-каналах была опубликована база с 191,5 тысячами адресов электронной почты, из которых 14,5 тысячи совпадали с апрельской утечкой. Проверка показала, что не все эти адреса принадлежали пользователям «Умного голосования», но многие владельцы были подписаны на рассылки или группы Навального в социальных сетях.

Уже в августе силовики начали приходить к жертвам утечки.  Правозащитный проект «ОВД-Инфо» сообщил, что в Москве было зафиксировано не менее 20 таких визитов. Полицейские требовали объяснить, как человек попал в базу или почему жертвовал деньги структурам Навального. В одном случае предлагали написать заявление на Навального за незаконную передачу данных.

Слив базы доноров ФБК

В начале сентября 2021 года на анонимном форуме 2ch была опубликована новая база данных. Авторы слива утверждали, что она содержала персональные данные около 70 тысяч человек, которые делали пожертвования Фонду борьбы с коррупцией. Кроме имён и дат рождения в базу попали номера телефонов, ИНН и места работы.

«Русская служба Би-би-си» тогда провела собственную проверку базы и выяснила, что в ней содержалась самая свежая информация о местах работы жертв утечки. По данным журналистов, на момент слива её не было в доступных на чёрном рынке базах для «пробива».

У нескольких фигурантов базы обнаружились не только работодатели, с которыми они сотрудничают недавно, но и фактические адреса. Как выяснили в издании, как минимум у одного молодого человека, который оказался в базе вместе с родителями, был упомянут адрес фактического проживания, а не регистрации.

Леонид Волков тогда заявил журналистам, что у него «не было времени внимательно смотреть [базу]», но то, что он видел, не оставляет у него сомнений, что данные взяли из государственных систем.

«Зачем им что-то покупать и взламывать, если у них и так все это есть?!» — написал он.

Уязвимость в донатах через Stripe

В том же 2021 году Фонд борьбы с коррупцией был признан экстремистской организацией в России. На следующий день, 5 августа, ФБК объявил о запуске новой системы пожертвований через американский платёжный сервис Stripe.

IT-специалист Владислав Здольников, ранее сотрудничавший с ФБК, указал на уязвимость системы. Он отметил, что Stripe добавляет данные о сайте получателя после клиринга платежа, что делает переводы отслеживаемыми.

Леонид Волков и Иван Жданов в видеоанонсе новой системы донатов наоборот, убеждали сторонников, что эта система безопасна для доноров, так как не передаёт данные о получателе в российские банки и позволяет анонимные переводы. Утверждалось, что фонд месяц тестировал систему, чтобы убедиться, что метаинформация в банковских выписках не раскрывает получателя. Только в 2025 году выяснилось, что консультант ФБК по IT Михаил Климарёв при запуске системы считал её безопасной, так как сравнивал ID разных транзакций.

Уже в первый день работы сбора пожертвований через Stripe в банковских выписках появилась информация, указывающая на ФБК, включая адрес сайта world.fbk.info и строку «THANKS, WORLD.FBK.IN US».

В ФБК обвинил в ошибке сам сервис, который, по словам Волкова, в ряде случаев добавлял в метаинформацию данные о получателе. Фонд сообщил, что якобы выявил проблему в тот же день и устранил её, уведомив Stripe.

Несмотря на это, ошибка затронула тысячи переводов, сделанных в последующие месяцы. Позже выяснилось, что российские силовики получили доступ к данным о транзакциях через Stripe и выявили уникальный идентификатор ФБК — merchant ID.

Merchant ID — это уникальный номер, присваиваемый торговой точке или организации в платёжной системе для идентификации получателя средств. Российские силовики использовали этот номер для отслеживания переводов, сделанных через Stripe с российских банковских карт.

По данным следствия, merchant ID, в сочетании с кодом банка-эквайера, позволял однозначно связать переводы с ФБК. В материалах уголовных дел фигурировал идентификатор V2NI29SJROMGYKY, указывающий на счёт в банке Wells Fargo. Силовики получали данные через запросы в «Сбербанк» и Росфинмониторинг, начиная с 2022 года.

Первые уголовные дела против доноров ФБК начались уже в августе 2022 года. По данным «Медиазоны», к августу 2025 года в России было возбуждено не менее 76 уголовных дел по статье 282.3 УК РФ («финансирование экстремистской деятельности») в 38 регионах. В 2022 году в суды поступило 2 дела, в 2023 — 4, в 2024 — 25, а за первые семь месяцев 2025 года — 34 дела. Известно о 49 приговорах: большинство — штрафы от 140 до 500 тысяч рублей, но 10 человек получили реальные сроки, из них 6 — в Москве, с наказаниями от 3 до 7 лет лишения свободы.

ФБК прекратил принимать пожертвования с российских карт только в феврале 2022 года после отключения российских банков от международных платёжных систем. Всё это время, с августа 2021 по февраль 2022 года, жертвователи отправляли «экстремистскому» фонду деньги, фактически деанонимиируя себя.

В 2025 году, под шквалом критики и уже после публикаций в SOTA и «Медиазоне» ФБК назвал преследования доноров «незаконными», но не стал признавать свою ответственность.

Силовики продолжают выявлять доноров фонда, опираясь на данные банковских выписок из Stripe. Журналист «Медиазоны» Давид Френкель утверждает, что под угрозой могут быть все, кто делал переводы через Stripe в этот период, даже если они не связаны с ФБК, так как силовики приравнивают любой платеж с определенным merchant ID к финансированию ФБК. Наказание по статье 282.3 УК РФ предусматривает штраф до 800 тысяч рублей или лишение свободы до 8 лет.

Слив данных волонтёров и активистов в Новосибирске

Последний (на данный момент) слив данных сторонников ФБК произошёл совсем недавно — в июле этого года. IT-специалист Александр Форов опубликовал фото двух таблиц в Google Sheets в социальной сети X. В них были частично указаны фамилии, имена, отчества, даты рождения, номера паспортов и адреса связанных с ФБК людей.

Доступ к данным Форов получил в 2015 году. Как он рассказал Port, в то время он работал в штате ФБК, занимаясь ведением баз данных в Москве, Новосибирске и Костроме. База персональных данных осталась у него даже после увольнения и хранилась все эти годы незашифрованной.

Утечки персональных данных сторонников российской оппозиции происходили, конечно, не только у ФБК. В 2016 году во время праймериз партии ПАРНАС личные данные участников голосования были опубликованы на сайте партии. В публичном доступе оказались ФИО, электронные почты, номера телефонов, IP-адреса и пароли пользователей.

Заместитель председателя ПАРНАС Константин Мерзликин объяснил случившееся «хакерской атакой». Лидер партии Михаил Касьянов заявил, что «злоумышленники взломали кодовую защиту доступа к конфиденциальной информации системы голосования» на сайте «Волна перемен», на котором проходило голосование.

В этом случае примечателен не сам взлом, а реакция его организаторов. Алексей Навальный, чья партия тогда входила в Демкоалицию с ПАРНАСом, публично взял на себя ответственность за то, что призывал сторонников участвовать в праймериз и извинился. От руководства ПАРНАС он потребовал ухода в отставку.

Жест, который для современного ФБК кажется почти немыслимым.

Олег Ожегов