Редактор, фактчекер Ілля Бер детально проаналізував ситуацію навколо того, чи дійсно в глави Пентагону Піта Гегсета є російський e-mail.
Своїми висновками Бер поділився на сторінці в Facebook.
Фактчекер заявив, що в мережі знайшли джерела, у яких зустрічалася ця адреса і не одна, а з паролем, який "за змістом" підходить саме Гегсету. І Беру кілька людей написали, що в тому є помилка.
"А потім вийшов ще й розбір "Медузи", в якому суворо нічого не стверджується, але автор недвозначно дає зрозуміти, що вважає імейл phegseth@mail ru справжньою адресою електронної пошти, яку колись завів собі тоді ще звичайний американський молодший офіцер Гегсет. Публікую 3 частину розбору "Перевірено", в якому розбираємо, зокрема, й аргументи "Медузи", а також проводимо деякі експерименти", - сказав Бер.
Та зауважив, що у джерелах є одразу кілька імейлів на різних доменах з користувацьким псевдонімом phegseth і одним і тим самим паролем. Скринька на Gmail - точно справжня, каже Бер. Тоді чому можуть залишатися сумніви з приводу Mail ru?
"Користувачі X публікують скріншоти з баз із різними джерелами, де однаковий пароль (mls71881) прив'язаний до п'яти адрес електронної пошти: phegseth@alumni pphegseth@alumni princeton edu, [email protected], phegseth@gmail com, phegseth@mail ru і phegseth@yahoo co uk. Перший із них - скринька випускника Принстонського університету (Гегсет закінчив його 2003 року), другий - судячи з усього, «бита» версія першого, із втраченою крапкою перед доменним ім'ям edu, третій - імейл, що однозначно належить Гегсету, він вказував його у своїх статтях для видання National Review. Четвертий уперше з'явився у витоку Exploit In 2016 року, п'ятий - у витоку Collection #1 2019-го.
При цьому між адресою на Gmail та адресами на Mail ru і Yahoo величезна різниця. Судячи з результатів їхнього аналізу за допомогою OSINT Industries та інших інструментів, до адреси phegseth@gmail com прив'язані профілі нинішнього глави Пентагону в різних соцмережах і сервісах - від Google Maps до бігових додатків. З адресою phegseth@mail ru, як ми і писали раніше, пов'язаний тільки запис на Warrior Forum, а phegseth@yahoo co uk - і зовсім «голий», він згадується тільки в самому витоку", - аргументує редактор.
А потім наводить поле ймовірнісних оцінок. Бер стверджує, що швидше за все, пароль mls71881 у якийсь момент дійсно використовували для скриньки phegseth@alumni princeton edu та/або phegseth@gmail com і саме у зв'язці з одним із них (або обома) свого часу потрапив у витік. Однак разом зі справжніми даними в такі бази, як припускають експерти, можуть додавати неіснуючі в реальності пари адрес і паролів.
"Укладачі подібних баз керуються двома спостереженнями: по-перше, одна й та сама людина нерідко реєструє однакові скриньки на різних поштових сервісах, і, по-друге, вона при цьому використовує один і той самий пароль. Завдяки генерації додаткових пар, з одного боку, кратно збільшується обсяг витоку (і, відповідно, його ціна на чорному ринку), з іншого - зламаний пароль дійсно може підійти до частини «гіпотетичних» адрес. Саме так могли вчинити й укладачі витоку Exploit In - вони припустили існування скриньки phegseth@mail ru і підставили до неї в пару пароль, який раніше використовували для phegseth@alumni princeton edu та/або phegseth@gmail com", - заявляє фактчекер.
При цьому говорить і про зворотню ситуацію: зловмисник заніс до бази даних справжню адресу електронної пошти, але не отримав доступ до пароля і сфальсифікував його. Так, у тому ж витоку Exploit In виявилися особисті імейли двох співробітників "Перевірено", але наведені в компіляції паролі до цих скриньок їхні власники ніколи не використовували.
"Тобто такої адреси на Mail ru не існувало? 27 березня прокремлівський блогер Тимофій Ві, який називає себе «експертом із боротьби з дезінформацією», розповів у соцмережі X, що йому вдалося зареєструвати скриньку phegseth@mail ru. І наголосив, що «на Mail ru не можна завести поштову скриньку з тим користувацьким ніком, який раніше вже був видалений». На цій підставі Ві критикує тих, хто повірив, що зареєстрований ним обліковий запис належить Гегсету, і публікує скріншоти листів, які туди приходять", - додає Бер.
Разом з ним каже, що теоретично можливо, що Ві зміг зареєструвати адресу phegseth@mail ru не тому, що вона завжди була вільною, атому, що Гегсет завів її і не пізніше 2010 року видалив. Однак такий сценарій, припускає редактор, видається малоймовірним.
"Як взагалі можливо, що сліди імейла є, а його самого могло й не бути? З 2019-го до 2025 року адреса phegseth@mail ru потрапила до ще щонайменше дев'яти компіляцій із витоками. Хоча, найімовірніше, це просто результат копіювання, за наявності імейла одразу в кількох базах було б логічно припустити, що ним користувалися і що має залишитися скільки-небудь помітний його слід. Як ми писали вище, у справжнього облікового запису Гегсета на Gmail він просто величезний, а у ймовірного на Mail ru - мізерний, це реєстрація на Warrior Forum", - пояснює Бер.
Тим часом з п'яти виявлених у витоках адрес із користувацьким псевдонімом phegseth на три зареєстровані акаунти на Warrior Forum (зокрема на «битий» phegseth@alumni princetonedu). Винятки - справжня скринька Gmail і скринька на Yahoo, якої немає у витоку Exploit In.
"І все-таки паролі. Один пароль для п'яти імейлів із ніком phegseth, хіба це не доказ? Разом з іншими фактами - досить слабкий. Інтернет-користувачі припускають, що пароль mls71881 - це ініціали першої дружини Гегсета, Мередіт Лі Шварц, і дата її народження (записана в американській традиції, де місяць іде перед днем). Шварц подала на розлучення 2008 року після того, як майбутній міністр оборони зізнався в зраді. Звісно, можна припустити, що Гегсет завів скриньки на Gmail, Mail ru і Yahoo до цього і в усіх трьох випадках використовував один і той самий пароль, але набагато ймовірніше, що його (до точно справжньої і до ймовірних адрес) підставили вже укладачі витоку Exploit In. А взяли вони цей пароль, можливо, зламавши пошту Гегсета на сервері Прінстонського університету, куди він вступив після закінчення тієї самої школи, що і його майбутня дружина Шварц. Як ми й попередили вище, у цьому випадку ми оперуємо ймовірностями", - прокоментував Бер.
А також підсумував свій аналіз. Отже, в реальному житті можливий один із двох сценаріїв:
1) Американський офіцер Гегсет до 2010 року, який не мав жодних відомих зв'язків із Росією, завів собі імейл у російського провайдера (нічого зашкварного в цьому б для нього не було, якщо й справді завів, але навіщо??), ніде його не використовував, крім одного сайту, а потім чомусь так само до 2010 року його видалив. От ви хоч раз у житті самостійно видаляли особисту (не робочу) поштову скриньку? Думаю, мало хто тут відповість ствердно. Це вочевидь доволі рідкісний користувацький сценарій, але при цьому цілком можливий.
Єдиним сайтом в інтернеті, для реєстрації на якому Гегсет використовував phegseth@mail ru, виявився маловідомий інтернет-форум, присвячений маркетингу. При цьому Гегсет зареєстрував там не один обліковий запис, а одразу 3, причому один із них на адресу [email protected], яка в принципі не могла існувати, тому що перед доменом edu там відсутня крапка. Чи варто говорити, що жодного повідомлення хоча б від одного з цих трьох акаунтів на форумі немає?
2. Якісь анонімні хакери, які зламали колись сайт Прінстонського університету, отримали реальну пару з імені поштової скриньки Гегсета і його пароля. Потім з метою штучного роздування витоку заради продажу вони «доповнили» її автоматично згенерованими парами, що складалися з того ж імені та пароля у зв'язці з популярними поштовими сервісами. Те, що підставляли саме mail ru, свідчить, найімовірніше, про те, що це робили російськомовні хакери, які збиралися продавати базу переважно російськомовним клієнтам.
"У якийсь момент ці ж або інші хакери влаштували набіг на Warrior forum, зробивши там сотні тисяч автоматичних реєстрацій, користуючись дірою в безпеці сайту, а саме відсутністю верифікації поштової адреси (доведено!) заради якихось своїх хакерських цілей. Теоретично обидва сценарії можливі. Але практично, я впевнений, що перший сценарій у реальному житті настільки малоймовірний, що розглядати його всерйоз не варто", - резюмував фактчекер.
Нагадаємо, журналісти знайшли в мережі особисті контактні дані деяких посадовців національної безпеки Сполучених Штатів Америки. Крім всього іншого, за очільником Пентагону Пітом Гегсетом помітили "російський хвіст" у вигляді пошти домену mail.ru.
