Бывший сотрудник NEXTA Кристиан Шинкевич рассказал EX-PRESS.BY, почему всем, кто писал в чат-боты, стоит обезопасить себя или даже покинуть Беларусь. По словам беларуса, агенты КГБ работали в офисе NEXTA в открытую. Сейчас важно, чтобы люди сами следили за своей безопасностью в Telegram и не доверяли третьим лицам, даже друзьям.
Кристиан Шинкевич работал почти год в NEXTA. Он вспоминает, что в офисе редакции постоянно было много лишних глаз и, возможно, даже завелся сотрудник КГБ:
— С гарантией 200% скажу, что в офисе был кто-то, кто сливал инфу в КГБ или лукашистам. Например, когда у нас появился доступ к серверам БТ, и даже к невыпущенным видеоматериалам, — это работало, и достаточно продолжительное время, пока про это знали я, Стёпа, и ещё 2-3 человека из офиса. Как только про это стало известно всему офису, то через пару дней доступ пропал, — значит, кто-то слил инфу в КГБ/БТ. Может быть, и совпадение, но это не единственный случай.
О безопасности в офисе бывший сотрудник говорит следующее:
— В офисе часто были чуть ли не толпы левых незнакомых людей. Некоторые сотрудники работали с личных компов и имели из дома доступ абсолютно ко всей базе "предложки" и служебных переписок. Полагаю, что КГБшники могли и по дороге кого-то поймать и вытащить информацию, и потом угрожать сотрудникам, чтобы молчали.
Почему Рома Протасевич — уловка, а не настоящий виновный
— Как минимум за день-два до ухода Ромы из офиса он лично при мне, Стёпе и ещё одном сотруднике удалял рабочие переписки, историю с ботами и так далее в своей телеге. Плюс даже если бы они как-то остались в кэше, то за 9 месяцев этот кэш уже много раз был перезаписан новыми данными.
У меня есть ощущения, что этот пост — уловка ГУБОПиК, чтобы из-за всяческих конфликтов кто-то еще проговорился или подтвердил какие-то их подозрения, а внимание специально перетянули на Протасевича, чтобы реального агента КГБ скрыть. Если уже подали какой-то знак, что был доступ к офису NEXTA, значит, у них уже более чем достаточно инфы.
Кристиан рассказал об "агентах", которые появились в офисе осенью 2020 года. Парень не называет их имена, но подчеркивает, что сотрудники точно знают, о ком идет речь:
— Один к нам приехал на работу в октябре 2020-го. Поначалу парень был чуть ли не самым примерным сотрудником, работал строго от и до своих часов. Бывало, что оставался один в комнате и надолго, — а много что можно сделать за это время.
Потом он притащил своего «друга» на работу, который реально просто чуть ли не в первый рабочий день на iMac, который ему дали для работы, выключил вообще все возможные уровни защиты, установил .kext расширения (это относительно базовые исполняемые файлы в системе macos, которыми можно делать почти всё, в том числе и шпионить), установил сотни плагинов почти ко всем нашим основным программам по мультимедиа. Он обосновывал это тем, что это пиратские плагины, а на вопрос, почему с его личной флешки, а не с торрентов хотя бы, говорил, что ему лично их «взламывали» ребята из EPAM.
Важно понимать, что это мои личные подозрения, основанные на моём личном опыте, наблюдении и мнении. То, что те двое ребят работают на Лукашенко, точно 100% доказать я не могу и не думаю, что такое вообще возможно без их собственного признания или полной проверки всей их техники и истории. Однако их поведение, действия, отношения к безопасности были крайне подозрительными. И даже если они не являлись сотрудниками структур, то их действия явно нанесли ущерб безопасности и увеличили риски утечки информации.
В один из дней беларус должен был ехать в Краков. По дороге, когда Кристиан был ещё в поезде, Степан написал ему, что, мол, он что-то сломал, и много что не работает:
— Когда я приехал, чуть сознание не потерял, ибо отключили половину техники от сети полностью, устроили «охоту на ведьм», а глюки в сети оказались из-за «плагинов», что тот парень ставил на рабочий комп, с которого был доступ к архиву.
Что касается опубликованных в последнее время данных, Кристиан говорит так:
— Наличие резервной копии аккаунта редакции, даже части переписок — это чуть ли не смертный приговор для тех, кто писал NEXTA. NXT Archive 4 — чат одного из наших ботов предложки, куда приходили тысячи сообщений от пользователей. Что важно: бот обычно показывал User ID каждого пользователя (редко было, что не мог показать), который никогда не меняется, и попадание таких данных несёт крайней высокие риски для людей.
— И публикации выглядят достаточно правдоподобно, так как даже клиент, с которого сделаны скриншоты, явно не какой-то из общедоступных, которого точно не могло бы быть у кого-то из сотрудников. Судя по скринам, они сделаны с операционной системы Windows, а ее у нас в офисе буквально никто не использовал по причинам безопасности, кроме одного из тех, кого я подозревал в работе на КГБ (Windows взломать проще всего, и много вирусов).
Значит, у КГБ или был прямой доступ к рабочему аккаунту, или это восстановленная переписка из каких-то кэшей. Один сотрудник в офисе имел на флешке копию буквально всей системы одного из рабочих компов, и там на виртуальной машине все это хранилось. Он мог с флешки запускать виртуальную машину-клона одного из компов (было у нас 1-2 компа на Windows), и такая флешка могла попасть в руки КГБ с доступом к рабочему Telegram. Или образ такой флешки мог быть передан по интернету.
КГБ вполне могли сделать в приложении Telegram (даже на той виртуальной машине) запрос на резервную копию системы где-то ночью, а другой человек, находясь в офисе, удалил бы уведомления о копии со всех рабочих компов, и шла бы в РБ скачка на офисы ГУБОПиК.
Учитывая кучу сливов из ЧКБ, NEXTA (и, я уверен, много где еще) — я бы советовал людям, которые писали в "предложку", бежать и не задумываться, ибо их будут бить и судить сильнее тех, кто протестовал.
В подтверждение догадок беларуса Кристиан добавляет:
— Отношение к защите персональных данных во многих «штабах» крайне низкое. Белорусский Дом в Варшаве (там находился офис NEXTA) в 2021 году Управлением охраны персональных данных Польши получил взыскание в отношении фонда «Белорусский Дом» в Варшаве за нарушение общеевропейского регламента о защите персональных данных физических лиц.
Тем, кто размещал сообщения в чат-ботах, нужно обязательно убедиться, что старые учетные записи, активные во время протестов 2020 года, удалены.
Удалите свой «засветившийся» telegram-аккаунт, предварительно очистив медиакэш и базы данных Telegram. После этого удалите со смартфона фотографии и материалы, которые могут идентифицировать вас как информатора протестной инициативы.
Советы по безопасности в Telegram от Кристиана Шинкевича:
1. Обязательно установите автоматический выход с устройств, где нет активности больше недели. Лукашисты любят заходить в ваш Telegram, пока вы сидите в тюрьме.
2. Установите автоматическое автоудаление сообщений как у себя, так и у собеседника, например, 1-7 дней. Даже если 100% доверяете собеседнику, не говорите о политике; телефон кого-то из вас может оказаться в ненужных руках, или аккаунт может быть взломан, и переписку порежут частями, соорудят «компромат» для БТ.
3. Обязательно сделайте 2-хэтапную авторизацию, причём, это касается не только Telegram, но и иных сервисов тоже. Рекомендую использовать ключ Ybikey.
4. Если нужно передать данные высокого риска, лучше для этого использовать «одноразовый» фейковый аккаунт с купленным онлайн номером (в AppStore есть много приложений для покупки номеров на минуты).
5. В телефоне обязательно должен быть включен Find My iPhone или аналогичная функция на Android, чтобы телефон можно было удалённо форматировать, отследить, где он, заблокировать, сменить пароль.
6. Многие устройства, особенно iPhone, позволяют включить стирание телефона после 10 неудачных попыток ввода пароля, что также существенно сократит риск взлома/утечки данных. Более того, это позволит вам при пытках 10 раз неправильно ввести пароль и убрать полностью возможность разблокировки.
7. Очистка сообщений с 2-х сторон — не всегда 100% гарантия их удаления, так как много данных сохраняется в кэше системы/приложения, который тоже периодически стоит очищать. В браузерах тоже стоит поставить автоматическую очистку истории каждые несколько дней.
8. Вдобавок к блокировке экрана можно поставить блокировку Telegram. Но если вы находитесь в Беларуси, обязательно убрать разблокировку по лицу/глазу/пальцу/голосу.
9. Если вы хотите быть уверены в том, что на вашей технике не осталось компромата, то надо сначала удалить аккаунт в Telegram (именно полное удаление аккаунта), потом сделать полный сброс/очистку системы и всех данных с форматированием. Это наиболее надежный способ.
10. Если есть какие-то фото, которые могут вас скомпрометировать, но они вам дороги, можно их загрузить в папку, папку заархивировать в какой-то архив, например, tar.gz, запаролить и подписать, что это, например, FIrefox 18.3.2 for Ubuntu Linux x86, и закинуть куда-то в облако, в папку с программами (лучше ещё пару программ закинуть туда, и в архив засунуть реальную программу).
11. Не вводить пароли под присмотром камер (ТЦ, банки, аптеки, метро), их вполне могут отследить.
12. Обязательно обновляйте вашу операционную систему и приложения, чтобы получать обновления безопасности и защиты, ибо даже всемирно известная система слежки Pegasus или советский «Мобильный Криминалист» не особо могут вскрыть технику на последних версиях операционных систем, особенно если это ещё и какие-то устройства с криптографией/аппаратным шифрованием (например, MacBook на процессорах Apple Silicon взломать труднее из-за новизны системы на рынке и другого подхода к защите данных).
13. Держите в устройстве минимум программ, так как кроме прямого взлома есть приложения, которые могут следить за вашими действиями на устройстве, тот же TikTok, VK, MailRU собирают почти всю возможную информацию с вашего устройства, в том числе и то, где и как касаетесь дисплея (например, ввод пароля). Это у них прописано даже в политике конфиденциальности, на которую вы соглашаетесь при их использовании. Даже функция «запрет отслеживания» в настройках приватности iOS 16 не может защитить от этого, хотя явно уменьшает риск/шанс.
Добро пожаловать в реальность!