Group-IB представила отчет о проверке голосования в шоу «Голос. Дети-6»

Group-IB опубликовала аналитический отчет по итогам исследования зрительского голосования в финале 6 сезона телевизионного шоу «Голос.Дети». Эксперты компании подтвердили выводы об использовании накруток голосов, а также выявили ряд аномалий, сопровождавших голосование. Менее чем за месяц Group-IB завершила все процедуры, связанные с проведением независимого расследования, инициированного Первым каналом. Опубликованный на сайте компании отчет отражает ход проверки итогов голосования на каждом из его этапов. Работа специалистов началась с выдвижения гипотез, объясняющих значительный разрыв между конкурсантами проекта в финале, состоявшемся 26 апреля в прямом эфире Первого канала. Для подтверждения или опровержения каждой из гипотез была создана кросс-функциональная проектная команда, эксперты которой работали по трем направлениям: аудит защищенности систем, сбор данных и компьютерная криминалистика, а также технический анализ данных. Отчет содержит официальную позицию Group-IB относительно сложившейся ситуации: «Специалисты Group-IB провели независимое техническое исследование, и его результаты не предназначены для того, чтобы делать обвинительные выводы в сторону кого-либо из участников проекта «Голос.Дети». Group-IB категорически против использования данных из отчета для оценки этической стороны вопроса или обвинений, направленных на детей или их родителей». На первом этапе расследования эксперты Group-IB обнаружили две группы номеров, с которых осуществлялись накрутки голосов. По уточненным данным, суммарно с этих номеров поступило более 41 000 голосов за участника 07. Среди IVR-звонков в пользу участника 07 была обнаружена группа номеров, следующих один за другим. Все они принадлежат региону Башкортостан и представляют собой списки идущих подряд телефонных номеров. Каждый список содержит до 360 номеров, всего 146 таких списков. В целом в накрутке задействовано 9 484 номера, с которых поступило 33 175 звонков за участника 07. Вторую группу, используемую в накрутках, удалось выявить при анализе СМС. В текст 8 216 СМС, помимо номера одного из участников конкурса, по ошибке исполнителей попала техническая информация, содержащая дополнительный номер и время отправления. Эта группа номеров также принадлежит одному оператору в Ленинградской области. На втором этапе проверки специалисты Group-IB исключили из анализа обе группы, использовавшиеся для накрутки, и продолжили исследовать ход голосования. Далее специалисты компании разделили голоса, полученные через СМС и телефонные звонки (IVR), так как они имеют технические отличия и требуют разных подходов к анализу. Детальное изучение голосования в финале (9 конкурсантов) и суперфинале (тройка лидеров) показало нехарактерное распределение частоты голосов по времени эфира. Внимание экспертов привлек резкий старт голосования за участника 07, сопровождавшийся высокой плотностью звонков и СМС с самого начала выступления. В финале, где из трех участников один попадает в суперфинал, за участника 07 поступало до 300 голосов в секунду. У соперников этот показатель, в среднем, достигал 110 голосов в секунду. В суперфинале за участника 07 – отдавали 250 голосов в секунду, у соперников – 170 (участник 06) и менее 100 (участник 02). Отдельно специалистами было изучено голосование абонентов, отдавших по 20 и более голосов за своих фаворитов. Распределение таких голосов выходит за рамки статистической погрешности: у участника 07 таких абонентов было 2 078. «Максималисты» голосовали и за других конкурсантов: у одного было 39 таких поклонников, у другого 59, то есть примерно в 35 раз меньше, чем у участника 07. В результате среднее количество всех голосов, отданных с одного телефона за участника 07, приближается к 8, при среднем значении по остальным участникам около 1,5. С 2015 года за все сезоны шоу «Голос» в России, включая взрослые и детский проекты, в среднем, данный показатель составлял 1,33. Подобный рекорд позволил участнику 07 суммарно набрать больше голосов, однако количество проголосовавших за него уникальных номеров по сравнению с его ближайшим соперником, занявшим второе место, было в 2 раза меньше в финале и почти в 6 раз меньше в суперфинале. Доля IVR составила менее 10% в общем объеме голосов, поэтому основное исследование касалось СМС. Для дальнейшего выявления аномалий специалисты Group-IB исключили пул «технических СМС» Ленобласти из анализа, однако учитывая, что данная накрутка была обнаружена благодаря техническому сбою, не исключено, что таких «пулов СМС» могло быть больше. «Очищенный» СМС-трафик показывает значительное превышение среднего количества голосов с одного номера, отданных за участника 07. Эта тенденция прослеживается как в финале, так и в суперфинале. Если проанализировать СМС-трафик отдельно по каждому суперфиналисту, то основная доля голосов (63% у участника 02 и 60% у участника 06) приходится на тех, кто отправил по одному СМС, 12% и 14% - по два, 7% и 8% - по три. У участника 07 распределение идет фактически в обратном порядке: доля голосов, поступивших с номеров, отправивших по 20 СМС, составляет 70%, по 19 СМС - 5%, по два СМС - 1%. Анализ финала идентичен: основная доля голосов (80% у участника 02 и 75% у участника 06) приходится на тех, кто отправил по одному СМС, 8% и 12% - по два, 4% и 5% - по три. У участника 07 снова преимущество за долей голосов, поступивших с номеров, отправивших по 20 СМС, (75%) по 19 СМС - 3%, по два СМС - 1%. Традиционно лидерами по активности голосования являются Москва и Санкт-Петербург. Однако на этот раз расстановка сил изменилась. Учитывая все типы голосов, отданных в рамках финала и суперфинала 6 сезона шоу «Голос.Дети», топ10 наиболее активно голосовавших регионов составили: Москва (71 000), Республика Башкортостан (35 000), Санкт-Петербург (29 000), Курская область (12 000), Республика Татарстан (7 000), по 6 000 голосов отдали Краснодарский край, Ростовская область и Ульяновская область, а также по 4 000 голосов – Воронеж и Самара. В распределении по регионам видны отклонения в процентном соотношении голосов, отданных за участника 07. Особенно ярко это выражено в Башкирии - 97%, Курске - 96% и Ульяновской области - 95%. Аудиторы Group-IB исследовали систему голосования с разных аспектов, включая архитектуру сети, настройки конфигурации устройств, административное распределение ролей в команде. Также на этапе аудита были протестированы разные сценарии и векторы атак: в ходе имитации действий атакующих основной целью была проверка возможности модификации результатов голосования. Комплексное исследование инфраструктуры, сайта и веб-приложения позволило выявить ряд характерных для современных веб-сервисов и сетей уязвимостей. Потенциально ими мог воспользоваться внешний злоумышленник, обладающий достаточно высокой квалификацией по взлому приложений и систем. Однако, как показал первый и последующие этапы анализа, этого не произошло. Все данные по аудиту оперативно передавались компании-агрегатору, специалисты которой внесли часть полученных рекомендаций и продолжают работать над усилением безопасности системы. Специалисты по компьютерной криминалистике исследовали 5 711 169 746 байт и более 30 000 000 строк в логах. Перед ними была поставлена задача выявить факты возможного изменения данных голосования со стороны авторизованных и неавторизованных пользователей, а также попытки умышленного внесения изменений в настройки, создающие условия для внешнего воздействия в целях изменения результатов голосования. Кроме того, на этом этапе необходимо было восстановить уничтоженные данные, если такие операции проводились, а также проверить анализируемые системы на наличие вредоносного кода или программных закладок. В результате криминалистического исследования серверов, сервисов и веб-сайта, представляющих собой систему учёта голосов, не обнаружено фактов, свидетельствующих о несанкционированном доступе к системе, а также об удалении или модификации информации со стороны сотрудников компании-агрегатора или третьих лиц. Также было подтверждено, что обнаруженные аудиторами уязвимости не использовались. Таким образом была опровергнута версия о возможном вмешательстве в голосование со стороны различных типов злоумышленников. «Результаты расследований Group-IB редко являются публичными, данный отчет стал первым подобным документом, подробно описывающим историю работы над резонансным проектом, реализованным на стыке экспертиз Group-IB, — сказал Илья Сачков, генеральный директор компании Group-IB. — Как технические специалисты, мы не оцениваем влияние на голосование, этику и другие вопросы, находящиеся вне поля наших компетенций, но считаем важным открыто показать как строилась наша работа, исходя из имеющихся данных и возможностей для анализа. Это был интересный опыт работы над проектом, раскрывающим синергию наших ключевых подразделений: в нем пора поставить точку и в техническом аспекте тоже. Теперь главная задача, на мой взгляд, предотвратить подобные вещи в будущем и сделать так, чтобы они никогда и ни при каких обстоятельствах ни в одной стране мира не затрагивали детей». Короткая ссылка на материал: [url]#[/url] Ссылка на источник