Менее чем за месяц Group-IB завершила все процедуры, связанные с проведением независимого расследования, инициированного Первым каналом. Опубликованный на сайте компании отчет отражает ход проверки итогов голосования на каждом из его этапов. Работа специалистов началась с выдвижения гипотез, объясняющих значительный разрыв между конкурсантами проекта в финале, состоявшемся 26 апреля в прямом эфире Первого канала. Для подтверждения или опровержения каждой из гипотез была создана кросс-функциональная проектная команда, эксперты которой работали по трем направлениям: аудит защищенности систем, сбор данных и компьютерная криминалистика, а также технический анализ данных.
Отчет содержит официальную позицию Group-IB относительно сложившейся ситуации. "Специалисты Group-IB провели независимое техническое исследование, и его результаты не предназначены для того, чтобы делать обвинительные выводы в сторону кого-либо из участников проекта "Голос.Дети". Group-IB категорически против использования данных из отчета для оценки этической стороны вопроса или обвинений, направленных на детей или их родителей", - подчеркивают в компании.
На первом этапе расследования эксперты Group-IB обнаружили две группы номеров, с которых осуществлялись накрутки голосов. По уточненным данным, суммарно с этих номеров поступило более 41 тысячи голосов за участника 07.
Напомним, что среди IVR-звонков (Interactive Voice Response - голосовое меню автоответчика) в пользу участника 07 была обнаружена группа номеров, следующих один за другим. Все они принадлежат региону Башкирия и представляют собой списки идущих подряд телефонных номеров. Каждый список содержит до 360 номеров, всего 146 таких списков. В целом в накрутке было задействовано 9 484 номера, с которых поступило 33 175 звонков за участника 07.
Вторую группу, используемую в накрутках, удалось выявить при анализе SMS. В текст 8 216 SMS, помимо номера одного из участников конкурса, по ошибке исполнителей попала техническая информация, содержащая дополнительный номер и время отправления. Эта группа номеров также принадлежит одному оператору в Ленинградской области.
На втором этапе проверки специалисты Group-IB исключили из анализа обе группы, использовавшиеся для накрутки, и продолжили исследовать ход голосования. Далее специалисты компании разделили голоса, полученные через SMS и телефонные звонки (IVR), так как они имеют технические отличия и требуют разных подходов к анализу.
Детальное изучение голосования в финале (9 конкурсантов) и суперфинале (тройка лидеров) показало нехарактерное распределение частоты голосов по времени эфира. Внимание экспертов привлек резкий старт голосования за участника 07 (под ним выступала Микелла Абрамова), сопровождавшийся высокой плотностью звонков и SMS с самого начала выступления. В финале, где из трех учеников один попадает в суперфинал, за участника 07 поступало до 300 голосов в секунду. У соперников этот показатель, в среднем, достигал 110 голосов в секунду. В суперфинале за участника 07 отдавали 250 голосов в секунду, у соперников - 170 (участник 06) и менее 100 (участник 02).
Отдельно специалистами было изучено голосование абонентов, отдавших по 20 и более голосов за своих фаворитов. Распределение таких голосов выходит за рамки статистической погрешности: у участника 07 таких абонентов было 2 078. "Максималисты" голосовали и за других конкурсантов: у одного было 39 таких поклонников, у другого 59, то есть примерно в 35 раз меньше, чем у участника 07.
В результате среднее количество всех голосов, отданных с одного телефона за участника 07, приближается к 8, при среднем значении по остальным участникам около 1,5. С 2015 года за все сезоны шоу "Голос" в России, включая взрослые и детский проекты, в среднем, данный показатель составлял 1,33. Подобный рекорд позволил участнику 07 суммарно набрать больше голосов, однако количество проголосовавших за него уникальных номеров по сравнению с его ближайшим соперником, занявшим второе место, было в 2 раза меньше в финале и почти в 6 раз меньше в суперфинале.
Доля IVR составила менее 10% в общем объеме голосов, поэтому основное исследование касалось SMS. Для дальнейшего выявления аномалий специалисты Group-IB исключили пул "технических SMS" Ленобласти из анализа, однако учитывая, что данная накрутка была обнаружена благодаря техническому сбою, не исключено, что таких "пулов SMS" могло быть больше.
"Очищенный" SMS-трафик показывает значительное превышение среднего количества голосов с одного номера, отданных за участника 07. Эта тенденция прослеживается как в финале, так и в суперфинале. Если проанализировать SMS-трафик отдельно по каждому суперфиналисту, то основная доля голосов (63% у участника 02 и 60% у участника 06) приходится на тех, кто отправил по одному SMS, 12% и 14% - по два, 7% и 8% - по три. У участника 07 распределение идет фактически в обратном порядке: доля голосов, поступивших с номеров, отправивших по 20 SMS, составляет 70%, по 19 SMS - 5%, по два SMS - 1%.
Анализ финала идентичен: основная доля голосов (80% у участника 02 и 75% у участника 06) приходится на тех, кто отправил по одному SMS, 8% и 12% - по два, 4% и 5% - по три. У участника 07 снова преимущество за долей голосов, поступивших с номеров, отправивших по 20 SMS (75%), по 19 SMS - 3%, по два SMS - 1%.
Традиционно лидерами по активности голосования являются Москва и Санкт-Петербург. Однако на этот раз расстановка сил изменилась. Учитывая все типы голосов, отданных в рамках финала и суперфинала 6-го сезона шоу "Голос.Дети", топ-10 наиболее активно голосовавших регионов составили: Москва (71 тыс.), Башкирия (35 тыс.), Санкт-Петербург (29 тыс.), Курская область (12 тыс.), Татарстан (7 тыс.), по 6 тыс. голосов отдали Краснодарский край, Ростовская область и Ульяновская область, а также по 4 тыс. голосов - Воронежская и Самарская области.
В распределении по регионам видны отклонения в процентном соотношении голосов, отданных за участника 07. Особенно ярко это выражено в Башкирии - 97%, Курске - 96% и Ульяновской области - 95%.
Взлома системы голосования не было
Аудиторы Group-IB исследовали систему голосования с разных аспектов, включая архитектуру сети, настройки конфигурации устройств, административное распределение ролей в команде. Также на этапе аудита были протестированы разные сценарии и векторы атак: в ходе имитации действий атакующих основной целью была проверка возможности модификации результатов голосования.
Комплексное исследование инфраструктуры, сайта и веб-приложения позволило выявить ряд характерных для современных веб-сервисов и сетей уязвимостей. Потенциально ими мог воспользоваться внешний злоумышленник, обладающий достаточно высокой квалификацией по взлому приложений и систем. Однако, как показал первый и последующие этапы анализа, этого не произошло. Все данные по аудиту оперативно передавались компании-агрегатору, специалисты которой внесли часть полученных рекомендаций и продолжают работать над усилением безопасности системы.
Специалисты по компьютерной криминалистике исследовали 5 711 169 746 байт и более 30 000 000 строк в логах. Перед ними была поставлена задача выявить факты возможного изменения данных голосования со стороны авторизованных и неавторизованных пользователей, а также попытки умышленного внесения изменений в настройки, создающие условия для внешнего воздействия в целях изменения результатов голосования. Кроме того, на этом этапе необходимо было восстановить уничтоженные данные, если такие операции проводились, а также проверить анализируемые системы на наличие вредоносного кода или программных закладок.
В результате криминалистического исследования серверов, сервисов и веб-сайта, представляющих собой систему учёта голосов, не обнаружено фактов, свидетельствующих о несанкционированном доступе к системе, а также об удалении или модификации информации со стороны сотрудников компании-агрегатора или третьих лиц. Также было подтверждено, что обнаруженные аудиторами уязвимости не использовались. Таким образом была опровергнута версия о возможном вмешательстве в голосование со стороны различных типов злоумышленников.
Напомним, по итогам финала "Голос. Дети", показанного 26 апреля, дочь певицы Алсу и банкира, а также внучка бывшего топ-менеджера "Лукойла" Микелла Абрамова, не являясь фавориткой сезона и оставшись в проекте благодаря зрительским голосам, сенсационно победила, набрав 56,5%. Это возмутило зрителей, а Первый канал принял решение провести проверку.
Нанятая для этого международная компания - партнер Интерпола Group-IB выявила накрутку голосов в пользу Абрамовой. В результате Первый канал аннулировал итоги голосования и в спецвыпуске повторного финала, на который Микелла Абрамова не пришла, объявил победителями всех финалистов шестого сезона шоу. Все они получили по миллиону рублей и возможность записать песню в студии Universal Music.
Микелла Абрамова отдала выигранный миллион рублей благотворительному фонду помощи детям с лейкемией имени Анжелы Вавиловой в Татарстане. Она также сказала, что продолжит заниматься музыкой и хочет стать артисткой. "Я готова преодолевать трудности. Я поняла, что если хочу выступать на сцене, то должна быть сильной, делать свое дело и не обращать внимание на разговоры", - заявила Микелла.