Lena Lebedeva-Hooft (lenaswan) wrote,
Lena Lebedeva-Hooft
lenaswan

4066. Полезно знать - про ботов и голосование ПАРНАСа.

Зачиталась даже. Как же ж я до брезгливости не переношу подобную организованную мерзость...
Переложу полностью - вдруг кто не увидит в фейсбуке. Оригинал опубликован ЗДЕСЬ.

Отчет ЦВК о технологических попытках мошенничества на праймериз ДемКоалиции ПАРНАС

28-29 мая проходило голосование на праймериз ДемКоалиции на базе партии ПАРНАС. Голосование проходило до 12:00 часов 29 мая, после чего было экстренно прервано вследствие утечки базы данных с избирателями.
В ситуации с несанкционированным доступом к серверу должны разобраться специалисты технического Оператора праймериз при участии независимых экспертов. По результатам которого общественности должен быть представлен обстоятельный доклад. Ниже речь пойдет о попытках искажения голосования, напрямую не связанных с этим инцидентом. В ходе предварительного изучения списков зарегистрированных избирателей, анализа хода и результатов голосования, ЦВК установило факты регистрации и частичного участия в голосовании виртуальных избирателей (ботов), что является нарушением правил голосования на праймериз.
Мы отдельно опишем два типа вбросов виртуальных избирателей, разные по характеру, масштабу и вкладу в опубликованные результаты.

1. "Московские" боты

Это 526 псевдо-избирателей, которые были зарегистрированы несколькими операторами по одинаковому алгоритму. Признаками принадлежности к "московским" ботам являются:
1) Номер телефона, оканчивающийся на две пары повторяющихся цифр (например, 99-66, 22-77, 11-55), повторяющиеся (24-24, 08-08) или зеркальные (23-32, 19-91) пары цифр, и т.п.
2) В качестве региона указана Москва, в качестве района – один из районов Москвы, выбранный произвольно.
3) Множественная регистрация с одного IP-адреса. При проверке выяснялось, что IP-адреса относятся к Японии, Тайваню, США и иным зарубежным странам.
4) Нет указания соцсетей.
Дополнительные признаки, заслуживающие внимания:
● Имя и фамилия – самые обычные ("как из словаря Даля"), нет экзотических.
● E-mail в основном зарегистрирован на одном из бесплатных российских почтовых хостингов (mail.ru, inbox.ru, rambler.ru)
● E-mail образован стандартным образом как сочетание имени и фамилии, и иногда произвольной цифры. Нет неординарных e-mail’ов
● При обзвоне ни один указанный телефонный номер не доступен. Они остаются недоступными и после голосования (вероятно, пока не будут задействованы в иной работе).
Московскую группу ботов (как выяснилось, во всей полноте) ЦВК выявила еще до начала голосования. Было принято решение не учитывать их голоса при подсчете и исключить из списка избирателей. Вклад такого числа виртуальных голосов мог сильно исказить итоги голосования.

У исключенных псевдоизбирателей была техническая возможность "голосовать" в течении первых двух часов голосования, что дало любопытную информацию: "московские" боты начали планомерно "голосовать" с первых же часов ровно за двух кандидатов: А.Шишканова и А.Зубова. Основным предположением на тот момент стало то, что задачей организаторов было дискредитировать голосование путем искажения результатов, добавив полтысячи голосов малоизвестному кандидату Шишканову, что с учетом малой явки могло вывести его в лидеры. А для маскировки или, опять же, для дискредитации, осуществить сопутствующую накрутку вероятному победителю Зубову. Из чего можно было бы раздуть скандал после голосования. Это напоминало тактику голосования "МММщиков" на выборах в Координационный Совет Оппозиции в 2012 году, когда вместе с кандидатами-троллями голосовали и за более известных.

Через два часа "голосование" московских ботов было закрыто администратором. Поскольку московские боты были исключены из списка избирателей, в лог голосования и опубликованный протокол ЦВК их голоса не вошли.

Голосование ботоводами производилось с зарубежных IP-адресов – Япония, США, Тайвань, Германия и пр.

Кроме того, при выборочной проверке по выложенному файлу персональных данных московских ботов найти не удалось. Зато удалось найти факты заходов по логину/паролю (в части файла, где только эти поля заполнены). Принцип генерации паролей – единообразный и алгоритмический.

Также видно, что при регистрации работали несколько (групп) ботоводов, использовавших несколько различных вариаций алгоритма генерации e-mail’ов и паролей. По сообщению экспертов, территориально регистрация проводилась из ближайшего Подмосковья (Люберцы, Одинцово, …).
Заказчик и организатор этой крупнейшей сети ботов остались (на данный момент) не выявленными. Из имеющейся информации, цели этой крупнейшей сети ботов не могут быть установлены однозначно.

2. "Региональные" сети ботов

Наряду с полутысячным "московским" кластеров ботов, на стадии предварительной проверки были отмечены две группы ботов меньшего масштаба (порядка одной-двух сотен учетных записей), с которыми разобраться было сложнее. Основные две группы по указанным при регистрации регионам они были обозначены как "ярославские" и "иркутские".

Перед дальнейшим необходимо сделать оговорку:
1) Нельзя априори утверждать, что к созданиям этих групп ботов причастны определенные кандидаты. Теоретически, возможно представить сложнейшую инсценировку со взломом их аккаунтов и симуляцией естественного поведения. Однако, имеющиеся факты позволяют предполагать причастность кандидатов к попытке искажения голосования с достаточной уверенностью.
2) Боты могли использоваться как для поддержки кандидатов (особенно "сопутствующих"), так и для возможной их дискредитации
"Ярославская" и "иркутская" сети ботов были замечены через группы одинаковых IP-адресов в совокупности со статистической необычностью иных характеристик при регистрации. У "региональных" групп ботов были отличия от "московской" группы:
● IP-адреса принадлежали конкретному региону: Ярославская область и Иркутская область соответственно.
● Закономерностей в телефонах выявлено не было.
● Организаторы творчески подошли к придумыванию имён и фамилий. Встречались необычные ФИО. Имитировали семьи: есть пары и тройки виртуальных избирателей с одинаковыми фамилиями, отчества также выбирались согласованными.
● При обзвоне среди группы ботов оказались несколько реальных людей. Среди ярославской группы ботов было два "живых избирателя", один при телефонном звонке заявил, что собирается голосовать за кандидата из своего региона.

Остальные прозвоненные номера телефонов оказались недоступными.

Принять решение об исключении избирателей только на основании принадлежности их IP-адреса к определенной группе было рискованно. Полный телефонный обзвон до начала голосования завершен не был. Также, была вероятность, что не все признаки данных сетей приняты во внимание. Принадлежность к группам ботов стала очевидна, когда по результатам голосования появилась дополнительная техническая информация.

Так, "ярославские" боты продемонстрировали удивительную статистическую картину голосования. До трех часов ночи, с одного ip-адреса в Ярославле шло равномерное голосование за группу кандидатов, включающую В.Цепенду. После перерыва на сон, с утра, по той же группе ботов продолжилось равномерное по времени голосование за пару кандидатов – В.Цепенду и Н.Пелевину. С какого-то момента голосование с ярославского ip-адреса продолжилось только за одного Цепенду. Видимо, оператор, осуществлявший ручное голосование за ботов, банально устал перетаскивать портреты кандидатов на пустые квадратики.

Кроме того, почти все виртуальные ярославские избиратели голосовали в порядке их регистрации. Невероятное статистическое совпадение..

Позже было установлено, что с того же IP-адреса, что и боты, голосовал помощник кандидата Цепенды (а также второй "живой" избиратель, который в сети ВКонтакте в связи с родственницей этого кандидата).

Дополнительные данные о причастности кандидатов к работе с ботами были получены исследователями выложенной злоумышленниками базы. Например, "ярославские" боты имели повторяющийся пароль PARDOn123 – это один из многих паролей, который якобы соответствует попытке входа в аккаунт кандидата Цепенды.

По кейсу создания и использования "ярославской" сети ботов, ЦВК заключает, что с большой долей вероятности данная попытка искусственно исказить результаты голосования инициирована кандидатом В.Цепендой.

"Иркутские" боты имеют дополнительную особенность. При попытках связаться с избирателями по указанным при регистрации телефонным номерам, в ряде случаев телефон работал, что указанного избирателя по нему не находилось, якобы мы ошиблись номером. Были несовпадения: в списке избиратель-мужчина, а отвечает женщина. Отвечающие люди говорили, что ничего не знают про праймериз, и ни за кого не голосовали. Это означает, что либо людям была дана установка всё отрицать, либо технологическая схема мошенничества была более сложна – скажем, каким-то образом кодовые SMS для регистрации перенаправлялись с телефонов ничего не подозревающих людей.
Статистические характеристики голосовавших с повторяющихся IP-адресов иркутского региона, имеют чуть более сложную природу, но было устойчивое голосование за кандидата Жакову. Кроме того, из сопоставления с "жаковской группой" вероятных аккаунтов из выложенного злоумышленниками файла, получается, что на момент остановки голосования проголосовала заметная, но далекая от полной часть сети.

По информации от исследователей выложенного злоумышленниками файла с учетной информацией, многие аккаунты "иркутских" ботов имели пароль Rizhik2016, похожий на единственный пароль кандидата О.Жаковой.
Ситуация с "иркутской" сетью ботов оставляет ряд вопросов. От однозначных выводов о заказчиках и организаторах на данный момент мы воздержимся, ограничившись изложением установленных и допустимых к публикации фактов. Также можем зафиксировать в качестве основной гипотезой о непосредственной причастности кандидата О.Жаковой или ее штаба к организации искажения голосования.

Кроме вышеописанных групп ботов, по аналогичным признакам была зафиксирована небольшая группа ботов из Саратова (11 учетных записей), голосовавшая за Мальцева. При обзвоне ни один из этих абонентов не был доступен.
После подведения технических промежуточных итогов (на 12:00 29 мая, до выкладывания файла с учетной информацией в публичный доступ), при подготовке фиксации очищенных скорректированных результатов голосования на этот момент, ЦВК также исключила из итогов голосования несколько экспериментальных ботов с англоязычными именами и фамилиями (эти боты были созданы через сервис онлайн-SMS), 8 ботов с заведомо вымышленными ФИО (абракадабра латиницей), а также 12 ботов, по которым в логе не оказалось необходимых идентифицирующих сведений.
Скорректированные итоги голосования

Исходя из вышесказанного, мы считаем, что самостоятельный вклад "ярославских" и "иркутских" ботов в голосование был следующий:
"Ярославские" боты (приводим позиции с разницей от 5 голосов и больше):
Цепенда В.В. +188
Пелевина Н.В. +87
Савин Е.Г. +41
Богомолов Ю.А. +39
Лукашевич В.П. +39
Андросов Д.П. +35
Расторгуев А.В. +34
Зубов А.Б. +28
Яблонская М.В. +14
Трубицина Л.С. +10
Степанова А.Э. +7
Шнейдер М.Я. +7
Табалов А.В. +6
Давидис С.К. +5
Касимов М.Б. +5
Шамсутдинов М.Д. +5
(и т.д., менее 5)
"Иркутские" боты:
Жакова О.А. +32
Зубов А.Б. +28
Яблонская М.В. +28

Вклад проголосовавших до 12:00 29 мая 282 ботов (60 "иркутских" и 188 "ярославских", а также 11 "саратовских", 3 "экспериментаторских" и ещё 20 ботов иной природы (12 без персонализации в логе; 8 с фальшивыми персональными данными) содержится в данных технических результатов голосования, опубликованных в приложении к решению ЦВК от 29 мая. Для корректного и максимально полного выявления влияния ботов, после подведения технических итогов был проведен дополнительный (частично описанный выше) анализ и проверки голосования подозрительных групп.

Итоговые результаты с учётом корректировки (исключён вклад 282 ботов):
1. Мальцев В.В. — 5448
2. Зубов А.Б. — 1601
3. Янкаускас К.С. — 1393
4. Ляскин Н.Н. — 1046
5. Поткин (Белов) А.А. — 924
6. Пивоваров А.С. — 892
7. Давидис С.К. — 849
8. Пелевина Н.В. — 821
9. Доможиров Е.В. — 695
10. Грязневич Н.В. — 632
11. Лурье Д.Б. — 582
12. Шулика К.О. — 407
13. Шальнев А.С. — 395
14. Савин Е.Г. — 392
15. Яблонская М.В. — 359
16. Шнейдер М.Я. — 358
17. Герасимова Е.В. — 351
18. Богомолов Ю.А. — 334
19. Назаров В.В. — 328
20. Лукашевич В.П. — 318
21. Андросов Д.П. — 287
22. Ходаковский В.В. — 275
23. Степанова А.Э. — 268
24. Львов И.А. — 256
25. Юзик Ю.В. — 253
26. Жакова О.А. — 252
27. Чернышев Д.А. — 232
28. Беспалов С.А. — 232
29. Расторгуев А.В. — 227
30. Михальченко Н.А. — 223
31. Максимов Д.В. — 220
32. Чаплыгин А.А. — 220
33. Борисов М.О. — 213
34. Дьячков С.А. — 208
35. Борисов М.М. — 201
36. Серуканов В.А. — 200
37. Трубицина Л.С. — 182
38. Суходольский В.А. — 177
39. Цепенда В.В. — 176
40. Касимов М.Б. — 171
41. Бабурин Е.А. — 171
42. Уренёв А.Н. — 169
43. Новиков И.В. — 167
44. Ворсин А.Ю. — 158
45. Ерохов С.В. — 158
46. Самохин А.В. — 155
47. Песков М.В. — 154
48. Левченко К.С. — 145
49. Сироткин Я.Е. — 138
50. Запрудин Л.М. — 137
51. Семёнов Д.А. — 130
52. Белова М.В. — 127
53. Крутицкий В.А. — 126
54. Куниловский А.А. — 121
55. Колесниченко К.М. — 120
56. Васильев М.Ю. — 117
57. Лебедев П.В. — 114
58. Шамсутдинов М.Д. — 113
59. Табалов А.В. — 110
60. Садаев М.Б. — 106
61. Махтанов С.О. — 104
62. Святославский (Полев) Я.А. — 103
63. Ефремов А.Н. — 103
64. Болдырев А.Е. — 98
65. Мингалимов Р.Г. — 96
66. Денисова Ж.Ф. — 89
67. Кучин Ю.В. — 89
68. Симонцев А.С. — 86
69. Конаков И.Н. — 82
70. Щеглюк А.А. — 82
71. Шутов И.В. — 80
72. Марахонов В.И. — 76
73. Бурмистров В.В. — 75
74. Залищак В.Б. — 69
75. Дуленков А.Н. — 65
76. Качановский Д.Е. — 64
77. Жилкин В.В. — 61
78. Руденко Р.В. — 56
79. Михайлов С.С. — 56
80. Антипенко О.Н. — 53
81. Завесов А.Л. — 51
82. Кислицин В.И. — 50
83. Шишканов А.П. — 49
84. Солонченко В.А. — 49
85. Коротыч С.Е. — 46
86. Козомазов В.Н. — 44
87. Павленок Д.В. — 43
88. Сапрыгин Д.А. — 43
89. Мищенков А.С. — 37
90. Скурихин Д.Н. — 35
91. Свитин А.В. — 28
92. Ивченков В.В. — 27
93. Дютин А.Н. — 22
94. Савченко М.А. — 18
95. Кравцов И.В. — 10
Всего учтено 7193 проголосовавших избирателя (в первоначально опубликованном логе было 7475 избирателей).

Комментарии ЦВК к часто задаваемым вопросам

Вопрос: База, которая утекла – что в ней было?
Ответ: Там была информация о части зарегистрированных избирателей: ФИО, дата рождения, электронная почта, телефон, IP-адрес. Для тех, кто регистрировался по электронной почте (не через соцсеть) – дополнительно был список попыток ввода паролей от аккаунта на "Волне перемен". В этот список попадали все пароли, которые избиратель вводил для входа на сайт "Волны перемен" за время наблюдения злоумышленниками, включая ошибочно введенные. Есть множество примеров, на которых легко проследить, как человек пытался вспомнить пароль и вводил его в разных вариантах. Другая часть данных содержит обезличенные пары логин(e-mail)/пароль некоторых пользователей.
Совокупность данных в выложенном файле не полная. Установлено, что в нее не попала информация последних нескольких дней до дня голосования. Также обращает на себя внимание факт, что выложенный файл – ручная компиляция данных (части данных?) снимавшихся с трафика на балансировочном сервере. Впоследствии собранный вручную.

Вопрос: Как ссылка на файл попала на сайт? Правда ли, что ее выложили по ошибке?
Ответ: Эта версия сомнительна, по совокупности причин:
● База неактуальна (там не обнаруживаются данные людей, проходивших регистрацию 23-25 мая).
● База выглядит, как подготовленная к публикации – это документ с расширением ".xlsx", с раскрашенными полями и названием листа "База данных parnasparty.ru". Она не похожа на технический слепок из базы сервера: все табличные данные, с которыми работали члены ЦВК, через электронную систему генерировались в формате ".csv", с иными набором и названиями полей.
● В базе не только верные, но и неверные пароли (точнее, попытки ввода пароля). Сервер не хранит пароли. Вместо них хранятся хешированные записи.
● База была выложена не на сайт "Волны перемен", а на файлообменник dropmefiles. Если бы администратор "совершил ошибку", то по крайней мере, он выложил бы документ на сервер "Волны перемен", где хранятся остальные документы. Случайно "перепутать" процедуру загрузки на файлообменник и на свой сервер – невозможно.
● Слова "Резервную копию результатов можно получить по адресу", сопровождавшие ссылку на скачивание, не несут никакой смысловой нагрузки, поскольку публикаций каких-либо резервных копий не предполагалось и вообще не обсуждалось. Должна была производиться только публикация обезличенного сводного бюллетеня (до конца голосования – в зашифрованном виде). Кажется маловероятным случайное введение такой фразы в текст новости.

Ниже вы можете видеть скриншот новости, появившейся на сайте.

Вопрос: Правда ли, что пароли избирателей изначально хранились в незашифрованном виде?
Ответ: По имеющейся в распоряжении ЦВК информации, в соответствии с архитектурой сервера, пароли избирателей в открытом виде не хранились, хранились их хэши. Что мы можем сказать из изучения внешнего вида базы? В базе не только верные, но и неверные пароли (т.е.попытки ввода "паролей"). Есть случаи, когда избиратель, привязавший соцсеть, пытался по ошибки ввести несуществующий в принципе пароль, что тоже было зафиксировано злоумышленниками и собрано в файл. Совокупность фактов свидетельствует о вероятном перехвате данных с регистрационной информацией и попытках ввода пароля (при авторизации того или иного пользователя-избирателя).
Окончательно на эти вопросы должна ответить созданная Парнасом независимая экспертная группа.

Вопрос: Могла ли утечка базы избирателей повлиять на цифры голосования?
Ответ: Прямым образом она могла повлиять так:
1) Голосование вместо избирателя по его данным. Но таких жалоб не появлялось в интернете и не поступало по горячей линии в комиссию до 12:00 29 мая.
2) Кража e-mail’ов, с целью регистрации фальшивых избирателей. Но таких жалоб со стороны избирателей и кандидатов также не поступало.

Таким образом, можно сделать вывод, что целью утечки базы было не искажение итогов праймериз, а дискредитация праймериз, партии "Парнас" и/или механизмов электронной демократии.

Вопрос: Что случилось с голосами, поданными в промежутке между 12:00 (время публикации базы избирателей) до момента остановки голосования (14:50)?
Ответ: Эти голоса не учтены в итоговом протоколе по решению ЦВК. Основная причина: с момента публикации базы можно было осуществить вход и голосование за некоторых из еще не проголосовавших, используя логин и пароль из выложенного злоумышленниками файла. Еще раз отметим, что случаев голосования за другого избирателя до 12:00 не отмечено, что при статистике в семь тысяч, свидетельствует об отсутствии таких фактов. После 12:00 до момента остановки мы получили две такие жалобы.

То, что злоумышленники, получившие доступ к информации, не предпринимали попыток исказить результат – правдоподобная гипотеза. Вероятно, им было невыгодно привлекать внимание к факту кражи учетных данных до момента выкладывания файла в публичный доступ.
Кроме того, отметим, что статистический анализ голосования не выявил статистически заметных особенностей (помимо голосования ботов и особой электоральной культуры избирателей Мальцева).

Вопрос: Голосовали ли боты за кандидата Мальцева, набравшего наибольшее число голосов?
Ответ: Во всей совокупности избирателей Мальцева удалось найти единственный маленький кластер ботов "из Саратова", численностью 11 учетных записей. То, что это не реальные избиратели, подтвердил телефонный обзвон. Но это больше похоже на частную инициативу кого-то из сторонников кандидата, нежели на часть системного явления.

Вопрос: Честно ли кандидат Мальцев добился лидерства в голосовании?
Ответ: Большинство членов ЦВК придерживаются этого мнения. Избиратели Мальцева – это вполне реальные избиратели. Из голосовавших на УВК в Москве, 80% не скрывали, что пришли голосовать за Мальцева. То же самое нам сообщали и с УВК в регионах. Избиратели Мальцева активно писали нам на почту, звонили на горячую линию, если не могли понять, как голосовать. При обзвоне они охотно разговаривали, спрашивали, когда будут итоги, какие результаты у Мальцева, и рассказывали о своем кандидате и его видеопередачах. Узнав о приостановке голосования, проявляли естественное недовольство и спрашивали, будут ли продлены праймериз; на предупреждение об утечке данных отвечали: "Да, я знаю, мне уже Слава написал".

Формальные признаки, по которым можно было бы отнести часть избирателей Мальцева к сети ботов отсутствуют. Не замечено и иных нарушений – не было выявлено признаков подкупа или принуждения, как это было с "МММщиками" на выборах КСО в 2012 году.

Избиратели Мальцева при этом отличались особым электоральным поведением – статистический анализ показывает, что чаще всего они выбирали только "своего" кандидата (реже в связке с Беловым (Поткиным) или др.).
Очень немногие из голосовавших в т.ч. за Мальцева заполняли все 12 вакансий. Но этот факт можно объяснить тем, что большинство избирателей Мальцева находятся вне информационного контекста избирателей кандидатов демократического лагеря (фейсбук, определенные СМИ и информационные ресурсы в интернете, и т.п.). К праймериз большинство избирателей Мальцева привлек исключительно кандидат Мальцев через свой достаточно популярный видеоблог на Youtube, а основная соцсеть для раскрутки Мальцева – ВКонтакте, в меньшей степени используемая либеральной оппозицией и журналистами. Поэтому логично, что при голосовании за Мальцева его избиратели ориентировались исключительно на его же установки.

С учетом типа основной медиактивности Мальцева, разброс избирателей по регионам также выглядит естественным.

Статистика (график) голосования "мальцевских" избирателей по времени естественным образом повторяет общий временной профиль хода голосования.
Tags: Дискуссии с Родины * Homeland Highlights, Крэш менталитетов * Paradigma Shift, Политика серьёзно * Politics Serious, Россия * Russia
Subscribe

Recent Posts from This Journal

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments