Group-IB выпустила аналитический отчет по итогам проверки зрительского голосования в шоу «Голос. Дети-6»

Специализирующаяся на предотвращении киберугроз компания Group-IB опубликовала аналитический отчет по итогам исследования зрительского голосования в финале 6-го сезона телевизионного шоу «Голос.Дети». Эксперты компании подтвердили выводы об использовании накруток голосов, а также выявили ряд аномалий, сопровождавших голосование.

Менее чем за месяц Group-IB завершила все процедуры, связанные с проведением независимого расследования, инициированного Первым каналом. Опубликованный на сайте компании отчет отражает ход проверки итогов голосования на каждом из его этапов. Работа специалистов началась с выдвижения гипотез, объясняющих значительный разрыв между конкурсантами проекта в финале, состоявшемся 26 апреля в прямом эфире Первого канала. Для подтверждения или опровержения каждой из гипотез была создана кросс-функциональная проектная команда, эксперты которой работали по трем направлениям: аудит защищенности систем, сбор данных и компьютерная криминалистика, а также технический анализ данных.

Отметим, что отчет содержит официальную позицию Group-IB относительно сложившейся ситуации: «Специалисты Group-IB провели независимое техническое исследование, и его результаты не предназначены для того, чтобы делать обвинительные выводы в сторону кого-либо из участников проекта "Голос.Дети". Group-IB категорически против использования данных из отчета для оценки этической стороны вопроса или обвинений, направленных на детей или их родителей».

Логика отчета и выводы по накруткам

На первом этапе расследования эксперты Group-IB обнаружили две группы номеров, с которых осуществлялись накрутки голосов. По уточненным данным, суммарно с этих номеров поступило более 41 000 голосов за участника 07. 

Напомним, что среди IVR-звонков в пользу участника 07 была обнаружена группа номеров, следующих один за другим. Все они принадлежат региону Башкортостан и представляют собой списки идущих подряд телефонных номеров. Каждый список содержит до 360 номеров, всего 146 таких списков. В целом в накрутке задействовано 9 484 номера, с которых поступило 33 175 звонков за участника 07.

Вторую группу, используемую в накрутках, удалось выявить при анализе СМС. В текст 8 216 СМС, помимо номера одного из участников конкурса, по ошибке исполнителей попала техническая информация, содержащая дополнительный номер и время отправления. Эта группа номеров также принадлежит одному оператору в Ленинградской области. 

На втором этапе проверки специалисты Group-IB исключили из анализа обе группы, использовавшиеся для накрутки, и продолжили исследовать ход голосования. Далее специалисты компании разделили голоса, полученные через СМС и телефонные звонки (IVR), так как они имеют технические отличия и требуют разных подходов к анализу.   

На максимальных скоростях: другие аномалии

Детальное изучение голосования в финале (9 конкурсантов) и суперфинале (тройка лидеров) показало нехарактерное распределение частоты голосов по времени эфира. Внимание экспертов привлек резкий старт голосования за участника 07, сопровождавшийся высокой плотностью звонков и СМС с самого начала выступления. В финале, где из трех участников один попадает в суперфинал, за участника 07 поступало до 300 голосов в секунду. У соперников этот показатель, в среднем, достигал 110 голосов в секунду. В суперфинале за участника 07 – отдавали 250 голосов в секунду, у соперников – 170 (участник 06) и менее 100 (участник 02).  

Отдельно специалистами было изучено голосование абонентов, отдавших по 20 и более голосов за своих фаворитов. Распределение таких голосов выходит за рамки статистической погрешности: у участника 07 таких абонентов было 2 078.«Максималисты» голосовали и за других конкурсантов: у одного было 39 таких поклонников, у другого 59, то есть примерно в 35 раз меньше, чем у участника 07.

В результате среднее количество всех голосов, отданных с одного телефона за участника 07, приближается к 8, при среднем значении по остальным участникам около 1,5. С 2015 года за все сезоны шоу «Голос» в России, включая взрослые и детский проекты, в среднем, данный показатель составлял 1,33. Подобный рекорд позволил участнику 07 суммарно набрать больше голосов, однако количество проголосовавших за него уникальных номеров по сравнению с его ближайшим соперником, занявшим второе место, было в 2 раза меньше в финале и почти в 6 раз меньше в суперфинале. 

Как распределялись голоса по СМС

Доля IVR составила менее 10% в общем объеме голосов, поэтому основное исследование касалось СМС. Для дальнейшего выявления аномалий специалисты Group-IB исключили пул «технических СМС» Ленобласти из анализа, однако учитывая, что данная накрутка была обнаружена благодаря техническому сбою, не исключено, что таких «пулов СМС» могло быть больше. 

«Очищенный» СМС-трафик показывает значительное превышение среднего количества голосов с одного номера, отданных за участника 07. Эта тенденция прослеживается как в финале, так и в суперфинале. Если проанализировать СМС-трафик отдельно по каждому суперфиналисту, то основная доля голосов (63% у участника 02 и 60% у участника 06) приходится на тех, кто отправил по одному СМС, 12% и 14% - по два, 7% и 8% - по три. У участника 07 распределение идет фактически в обратном порядке: доля голосов, поступивших с номеров, отправивших по 20 СМС, составляет 70%, по 19 СМС - 5%, по два СМС - 1%. 

Анализ финала идентичен: основная доля голосов (80% у участника 02 и 75% у участника 06) приходится на тех, кто отправил по одному СМС, 8% и 12% - по два, 4% и 5% - по три. У участника 07 снова преимущество за долей голосов, поступивших с номеров, отправивших по 20 СМС, (75%) по 19 СМС - 3%, по два СМС - 1%.  

Как голосовали регионы

Традиционно лидерами по активности голосования являются Москва и Санкт-Петербург. Однако на этот раз расстановка сил изменилась. Учитывая все типы голосов, отданных в рамках финала и суперфинала 6-го сезона шоу «Голос.Дети», топ-10 наиболее активно голосовавших регионов составили: Москва (71 000), Республика Башкортостан (35 000), Санкт-Петербург (29 000), Курская область (12 000), Республика Татарстан (7 000), по 6 000 голосов отдали Краснодарский край, Ростовская область и Ульяновская область, а также по 4 000 голосов – Воронеж и Самара. 

В распределении по регионам видны отклонения в процентном соотношении голосов, отданных за участника 07. Особенно ярко это выражено в Башкирии - 97%, Курске - 96% и Ульяновской области - 95%.  

Что выявил аудит и тесты на проникновение

Аудиторы Group-IB исследовали систему голосования с разных аспектов, включая архитектуру сети, настройки конфигурации устройств, административное распределение ролей в команде. Также на этапе аудита были протестированы разные сценарии и векторы атак: в ходе имитации действий атакующих основной целью была проверка возможности модификации результатов голосования. 

Комплексное исследование инфраструктуры, сайта и веб-приложения позволило выявить ряд характерных для современных веб-сервисов и сетей уязвимостей. Потенциально ими мог воспользоваться внешний злоумышленник, обладающий достаточно высокой квалификацией по взлому приложений и систем. Однако, как показал первый и последующие этапы анализа, этого не произошло. Все данные по аудиту оперативно передавались компании-агрегатору, специалисты которой внесли часть полученных рекомендаций и продолжают работать над усилением безопасности системы. 

Что показала криминалистика

Специалисты по компьютерной криминалистике исследовали 5 711 169 746 байт и более 30 000 000 строк в логах. Перед ними была поставлена задача выявить факты возможного изменения данных голосования со стороны авторизованных и неавторизованных пользователей, а также попытки умышленного внесения изменений в настройки, создающие условия для внешнего воздействия в целях изменения результатов голосования. Кроме того, на этом этапе необходимо было восстановить уничтоженные данные, если такие операции проводились, а также проверить анализируемые системы на наличие вредоносного кода или программных закладок. 

В результате криминалистического исследования серверов, сервисов и веб-сайта, представляющих собой систему учёта голосов, не обнаружено фактов, свидетельствующих о несанкционированном доступе к системе, а также об удалении или модификации информации со стороны сотрудников компании-агрегатора или третьих лиц. Также было подтверждено, что обнаруженные аудиторами уязвимости не использовались. Таким образом была опровергнута версия о возможном вмешательстве в голосование со стороны различных типов злоумышленников.

«Результаты расследований Group-IB редко являются публичными, данный отчет стал первым подобным документом, подробно описывающим историю работы над резонансным проектом, реализованным на стыке экспертиз Group-IB, — комментирует Илья Сачков, генеральный директор компании Group-IB& — Как технические специалисты, мы не оцениваем влияние на голосование, этику и другие вопросы, находящиеся вне поля наших компетенций, но считаем важным открыто показать как строилась наша работа, исходя из имеющихся данных и возможностей для анализа. Это был интересный опыт работы над проектом, раскрывающим синергию наших ключевых подразделений: в нем пора поставить точку и в техническом аспекте тоже. Теперь главная задача, на мой взгляд, предотвратить подобные вещи в будущем и сделать так, чтобы они никогда и ни при каких обстоятельствах ни в одной стране мира не затрагивали детей».

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Мобильная связь, Интернет, Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
 

ITSZ.RU: последние новости Петербурга и Северо-Запада

16.08.2019 Tele2 оцифровал пространство

12.08.2019 Нейросеть поможет «Лиза Алерт»

05.07.2019 Дом, полный амбиций

03.07.2019 Облачная кибербезопасность растет в полтора раза

25.06.2019 Паруса на связи. Как в Петербурге готовили сеть для полутора миллионов

24.06.2019 Extreme Networks: будущее за автономными сетями

20.06.2019 Продажи наушников и часов – драйверы рынка носимых устройств

17.06.2019 «Билайн» ставит на привыкание

MSKIT.RU: последние новости Москвы и Центра

NNIT.RU: последние новости Нижнего Новгорода