Отчет рабочей группы по техническому анализу срыва праймериз ­2016
Москва, Бюро ФПС, 30.06.2016

Отчет рабочей группы по техническому анализу срыва праймериз ­2016 с комментариями ответственного секретаря партии, председателя ЦВК Константина Мерзликина

Исходные данные, с которыми работала группа:

­ Разговоры с редактором сайта, программистом и системным администратором, администратором сайта, заместителем председателя Парнаса – ответственным секретарем ФПС, постановщиком задачи по программированию;
­ Логи системы управления, логи доступа и ошибок одного из четырёх вебсерверов, присланные программистом.
­ Доступ к панели управления виртуального сервера ISPServer в Иркутске.

Данные, которые были запорошены как необходимые, но не предоставлены:

­ Исходные коды системы управления.
­ Логи активности серверов.
­ Логи базы данных.
­ Доступ к системе управления.

­ Техническая документация ­ не велась. Программист: "Разработка велась посредством выполнения коротких промежуточных заданий, формулируемых в рабочем режиме."

Хронология произошедшего

17 апреля 2016 года произошел взлом сайта parnasparty.ru через один из редакторских аккаунтов, на нём появилась переписка Натальи Пелевиной. Через какой аккаунт ­ не установлено, неизвестно и как был получен к нему доступ.

29 мая 2016 года

Около 12:00 на сайте партии появилась новость со ссылкой на базу пользователей сайта праймериз.

Около 12:30 появилась новость на сайте Yodnews.

Около 12:55 новость со ссылкой на базу была снята с публикации.

Около 13:00 на сайте партии появилась новость об "ошибке администратора" с извинениями.

Около 13:10 вторая новость была снята с публикации.

Около 15:15 на сайте появилось сообщение об утечке с рекомендацией сменить пароли.

Около 18:30 на сайте появилось заявление Касьянова о взломе, без технических деталей.

В 20:50 была переустановлена операционная система на сервере­"балансировщике" ISPServer в Иркутске, через который проходили все запросы к сайту. Это привело к отключению сайта и пропаже всех данных на сервере. Судя по логам панели управления, вход был совершён с IP 94.185.85.42 (Netrouting Telecom Sweden). Ранее в 20:37 был сменён пароль пользователя parnas.party. Вход мог быть совершен:­ либо с использованием пароля пользователя parnas.party, дающего полный доступ к серверу, который, судя по разговору с программистом, не изменялся с момента регистрации сервера (!). ­ либо через основную клиентскую панель ISPServer, пароль от которой , по его словам менял перед началом голосования и сообщал только программисту.

30 мая в 11:45 в партийном фейсбуке (сайт весь день не работал) появились первые технические детали, включающие выводы о том, что утечка паролей и доступ к сайту произошли через сервер­"балансировщик".

Утром 31 мая работа сайта была восстановлена.

Около 19:00 1 июня на сайте появился отчет ЦВК с техническими подробностями взлома.

Анализ, часть 1. Техническая реализация системы

Рабочая группа не смогла оценить защищенность системы управления сайта и возможные способы совершенного похищения данных: аппарат партии отказался предоставить необходимые данные (см. Исходные данные).

Защищенность механизма балансировки нагрузки оценить тоже не представляется возможным: все данные на сервере были удалены, резервное копирование не делалось.

Недостаток, который по версии, изложенной программистом, привёл к утечке базы: расшифровка данных, вводимых пользователями, на промежуточном сервере. Этот недостаток (опять же, по словам программиста) был устранён после взлома и теперь данные на "балансировщике" не расшифровываются.

Анализ, часть 2. Установка и настройка сервера в Иркутске
Этому серверу рабочей группой уделялось особое внимание: по словам программиста, именно на нём была собрана база пользователей, а потом через него же опубликована. Несмотря на то, что он особенно уязвим: находится в России, на него сперва заходят все пользователи, он был очень уязвим для атаки.

Административный пароль мог быть кроме программиста у всех людей, имевших доступ к общей почте parnasparty@gmail.com: у постановщика задач, администратора, редактора сайта, ответственного секретаря партии. По словам постановщика задачи, пароль им изменялся 10 апреля, вместе со сменой email, к которому привязан аккаунт. По словам администратора, он менял пароль перед началом голосования.

Представители ЦВК передали слова программиста от 29 мая о том, что пароль изначально пришедший на эту почту, не изменялся. Из разговора с программистом стало ясно, что он привязал ключ шифрования к изначальному паролю, и не менял его ­ значит, пароль никогда не менялся. Но это не административный пароль, а пароль пользователя partas.party с полным доступом к серверу. Он был, кроме программиста, как минимум и бывшего менеджера, который входил с ним через веб­консоль.

Надо отметить, что административный пароль тоже даёт возможность войти в панель сервера и сменить пароль пользователя partas.party, который уже даёт полный доступ.

Выявленные проблемы в безопасности этого сервера:

1. Мастер­пароль от сервера был выслан в открытом виде на партийную почту, и не был изменён. Все, у кого был доступ к этой почте, имели полный доступ к серверу, в том числе к его очистке без возможности восстановления.

2. Панель управления сервера не была защищена по входу только с определённых IP, двухфакторная авторизация была выключена. Эти опции предусмотрены панелью, но были отключены.

3. Не было настроено резервное копирование, что привело к исчезновению логов,механизма балансировки, к недоступности сайта в течение двух дней с вечера 29 мая до 31 мая.

4. На сервере не было принято никаких мер после взлома сайта 17 апреля, не были сменены пароли.

Анализ, часть 3. Организация работы

1. Несмотря на замечания сотрудников, на разработку системы не выделялось достаточных ресурсов. Один сотрудник, работающий удаленно, выполнял функции системного администратора (администрировал сервера) и программиста (разрабатывал сайты и систему голосования). Из-­за большой нагрузки, по словам членов ЦВК, программист в критические моменты был невнимателен. То, что он мало спал, по его словам, стало причиной задержки в два дня с восстановлением работы сайта после взлома.

2. Не существовало политики безопасности, не было проектирования, не велась техническая документация.

Анализ, часть 4. Обратная связь с пользователями

1. Новость была снята с публикации спустя 1,5 часа после публикации, спустя час после появления ссылки на неё в новостях.

2. Пользователи, чьи данные был скомпрометированы, не были персонально извещены об этом с помощью рассылки.

3. Первая официальная реакция с информацией о том, что произошёл взлом, а не ошибка редактора, появилась спустя 8 часов после атаки.

Технические детали взлома появились спустя 3 дня, внутри отчета ЦВК о ботах.

4. После взлома в течение двух дней с вечера 29 мая до 31 мая пользователи узнавали информацию (часто ложную) из третьих источников: сайт был полностью недоступен. Не было размещено даже технически несложное информационное сообщение в HTML­формате.

Анализ, часть 5. Версии событий

1. Kто и как создал базу с паролями?

Версия программиста: хакер проник в систему, имея доступ к серверу­-"балансировщику": либо имея пароль (у кого он мог быть получен/похищен ­ см. Часть 2), либо при содействии провайдера ­ сервер находится в России. За неопределённое время до 29 мая перехватил данные пользователей, которые расшифровывались на этом сервере из­-за недостатка в системе, который на данный момент устранён.

2. Кто и как получил доступ к сайту и выложил новость?

Версия программиста: хакер (опять через сервер­-"балансировщик") перехватил сессию редактора, которая была в тот момент авторизована, и от имени пользователя опубликовал данные, а после снятия их с публикации ­ новость о том, что данные были опубликованы по ошибке.

Версия "Неподходящие результаты": файл был опубликован аппаратом по распоряжению руководства партии, чтобы прервать праймериз, результаты которых складывались неудобным образом.

Контрдоводы:

­ У рабочей группы нет подтверждающих фактов.
Сорвать праймериз можно было без публикации личных данных пользователей, нанёсшей большой ущерб партии и её руководству.

Версия "Ошибка редактора": файл был опубликован из­-за технической ошибки редактора.

Контрдоводы:

­ У рабочей группы нет подтверждающих фактов.
­ Потребовала бы сговора практически всех участников процесса (включая ЦВК) для поддержки ложной версии.

Версия "Инсайдер": файл был опубликован агентом внутри партии, имеющим редакторский доступ.

Контрдоводы:

­ У рабочей группы нет подтверждающих фактов.
­ Опровергается логом действий в системе управления, присланным программистом.

3. Кто и как получил доступ к "балансировщику" и обнулил его?

Версия программиста: Вечером того же дня тот же или другой хакер, имеющий пароль пользователя parnas.party (см. Часть 2) зашёл на сервер и переустановил операционную систему, в результате чего все данные сервера, включая логи, оказались утрачены.

Версия "Сокрытие": Чтобы скрыть технические ошибки, приведшие к утечке и публикации личных данных, представитель Парнас, знающий пароль, или его сообщник зашёл через прокси со шведским IP в панель управления сервера­"балансировщика" и запустил переустановку системы.

Контрдоводы:

­ У рабочей группы нет подтверждающих фактов.

Выводы

1. Рабочая группа не смогла провести полноценный анализ безопасности системы из­за отказа аппарата партии предоставить тестовый доступ и исходные коды системы.

2. Из­-за халатности ответственных за безопасность системы (постановщик задачи, администратор, программист) не было принято мер по защите сервера­"балансировщика" (возможные меры ­ см. Часть 2). Благодаря несанкционированному доступу к этому серверу, по версии программиста, был
украден список паролей, злоумышленником получен доступ к редакторскому аккаунту для публикации этого списка, на два дня остановлена работа сайта.

После первого взлома 17 апреля никаких мер по защите этого сервера тоже принято не было, даже не был изменён пароль администратора.

3. Существующая политика информационной безопасности и разработки IT ­систем партии требует срочного пересмотра.

4. Обратная связь не помогла уменьшить негативный информационный фон от взлома и предотвратить массовый взлом аккаунтов пользователей на других сервисах.

Рекомендации руководству партии

Срочно принять организационные и кадровые меры по предотвращению подобных ситуаций:

1. Выработать профессиональную политику информационной безопасности. Ввести персональную ответственность с организационными мерами в случае её нарушения.

2. Принять прозрачную политику найма сотрудников. Развести должности программиста и системного администратора. Разработать механизмы замены сотрудника в случае экстренной ситуации (арест, болезнь, необходимость поспать).

3. Ввести системный подход к разработке и защите систем, с ведением технической документации и её профессиональным аудитом.

4. Выработать политику обратной связи с пользователями, назначить ответственных за её соблюдение.

5. Публично отчитаться перед пользователями и сторонниками о причинах произошедшего и о принятых мерах.

Рабочая группа:

Павел Елизаров
Стас Поздняков
Михаил Роскин
14 июня 2016 года

Комментарии ответственного секретаря, председателя ЦВК Константина Мерзликина:

"В 20:50 была переустановлена операционная система на сервере­"балансировщике" ISPServer в Иркутске, через который проходили все запросы к сайту. Это привело к отключению сайта и пропаже всех данных на сервере. Судя по логам панели управления, вход был совершён с IP 94.185.85.42 (Netrouting Telecom Sweden). Ранее в 20:37 был сменён пароль пользователя parnas.party. Вход мог быть совершен:­ либо с использованием пароля пользователя parnas.party, дающего полный доступ к серверу, который, судя по разговору с программистом, не изменялся с момента регистрации сервера (!). ­ либо через основную клиентскую панель ISPServer, пароль от которой , по его словам менял перед началом голосования и сообщал только программисту" - Речь идет об административном пароле. Программист не утверждал, что административный пароль никогда не менялся, а сказал, что не знает, менялся ли он, и что это необходимо смотреть по логам.

"30 мая в 11:45 в партийном фейсбуке (сайт весь день не работал) появились первые технические детали, включающие выводы о том, что утечка паролей и доступ к сайту произошли через сервер­"балансировщик" - 30 мая выполнялись работы по восстановлению балансировщика и переорганизации инфраструктуры. Также были приняты меры по безопасности, исключающие подобные действия в дальнейшем.

"Рабочая группа не смогла оценить защищенность системы управления сайта и возможные способы совершенного похищения данных: аппарат партии отказался предоставить необходимые данные (см. Исходные данные)." - Комиссии были переданы все необходимые для их работы доступы и логи, дающие полное представление о внешнем трафике системы. Открытие исходных кодов системы управления не представлялось возможным, потому что у рабочей группы нет юридических механизмов гарантирования конфиденциальности.

"Недостаток, который по версии, изложенной программистом, привёл к утечке базы: расшифровка данных, вводимых пользователями, на промежуточном сервере. Этот недостаток (опять же, по словам программиста) был устранён после взлома и теперь данные на "балансировщике" не расшифровываются." - Неверная формулировка. Была не утечка базы, а утечка данных, которые направлялись через балансировщик для проверки и последующей записи в базу. Это разные вещи.

"Этому серверу рабочей группой уделялось особое внимание: по словам программиста, именно на нём была собрана база пользователей, а потом через него же опубликована. Несмотря на то, что он особенно уязвим: находится в России, на него сперва заходят все пользователи, он был очень уязвим для атаки." - Еще раз обращаем внимание, что данные не собирались на балансировщике, а лишь переправлялись через него. Никакие данные на балансировщике не хранились совсем.

"Надо отметить, что административный пароль тоже даёт возможность войти в панель сервера и сменить пароль пользователя partas.party, который уже даёт полный доступ." - Налицо путаница в определениях паролей и вообще в понимании ситуации с ними. В любом случае, некорректно утверждение о паролях, якобы приходящих в открытом формате на почту. Пароли создаются и меняются вручную в контрольной панели. 

"1. Мастер­пароль от сервера был выслан в открытом виде на партийную почту, и не был изменён. Все, у кого был доступ к этой почте, имели полный доступ к серверу, в том числе к его очистке без возможности восстановления." - См. пред. комментарий

"4. На сервере не было принято никаких мер после взлома сайта 17 апреля, не были сменены пароли." - Были изменены пароли в админку.

"1. Несмотря на замечания сотрудников, на разработку системы не выделялось достаточных ресурсов. Один сотрудник, работающий удаленно, выполнял функции системного администратора (администрировал сервера) и программиста (разрабатывал сайты и систему голосования). Из-­за большой нагрузки, по словам членов ЦВК, программист в критические моменты был невнимателен. То, что он мало спал, по его словам, стало причиной задержки в два дня с восстановлением работы сайта после взлома." - Из ответа нашего программиста этого не следует. Он действительно мало спал, но никаких задержек не было. Сервер был включен в работу, как только были приняты все меры (см выше). Даже если бы в разработке и администрировании принимало участие несколько человек, это бы не сильно ускорило процесс запуска. Ответственный человек все равно один и он должен убедиться, что все сделано как надо.

"2. Не существовало политики безопасности, не было проектирования, не велась техническая документация." - Утечка данных любым способом (через инсайдеров, провайдеров и тп) – это самое уязвимое место в любой политике безопасности.

"2. Пользователи, чьи данные был скомпрометированы, не были персонально извещены об этом с помощью рассылки." - Рассылка была сделана. А пароли всем пользователям были сброшены сразу же. Это было первое действие.

"Версия программиста: хакер проник в систему, имея доступ к серверу­-"балансировщику": либо имея пароль (у кого он мог быть получен/похищен ­ см. Часть 2), либо при содействии провайдера ­ сервер находится в России. За неопределённое время до 29 мая перехватил данные пользователей, которые расшифровывались на этом сервере из­-за недостатка в системе, который на данный момент устранён." - Верно, это версия нашего программиста, которая основывается на анализе опубликованных данных, в которых есть:
1) Пароли в открытом виде (которые не хранятся нигде, и их можно только перехватить)
2) Попытки ввода паролей - вообще нигде не хранятся
3) Персональные данные только части пользователей, которые регистрировались с момента получения доступа злоумышленников к балансировщику.

"Версия программиста: хакер (опять через сервер­-"балансировщик") перехватил сессию редактора, которая была в тот момент авторизована, и от имени пользователя опубликовал данные, а после снятия их с публикации ­ новость о том, что данные были опубликованы по ошибке." - Верно, это доказано с помощью логов заходов и действий в админке.

Версия "Ошибка редактора": файл был опубликован из­-за технической ошибки редактора. - Кроме того, как говорилось выше, формат выложенных в открытый доступ данных говорит об их перехвате, а не о публикации информации изнутри системы. Об этом же говорится в заключении ЦВК.

"Версия программиста: Вечером того же дня тот же или другой хакер, имеющий пароль пользователя parnas.party (см. Часть 2) зашёл на сервер и переустановил операционную систему, в результате чего все данные сервера, включая логи, оказались утрачены." - Верно, доказано через логи заходов на балансировщик (хранятся у провайдера)

"1. Рабочая группа не смогла провести полноценный анализ безопасности системы из-­за отказа аппарата партии предоставить тестовый доступ и исходные коды системы." - Все необходимые материалы были предоставлены. Исходные коды системы не предоставлены из-за того, что рабочая группа не имеет юридических механизмов гарантирования конфиденциальности.

"2. Из­-за халатности ответственных за безопасность системы (постановщик задачи, администратор, программист) не было принято мер по защите сервера­"балансировщика" (возможные меры ­ см. Часть 2). Благодаря несанкционированному доступу к этому серверу, по версии программиста, был украден список паролей, злоумышленником получен доступ к редакторскому аккаунту для публикации этого списка, на два дня остановлена работа сайта." - Неверно: утечка пароля могла быть через провайдера, а этот вариант вовсе не рассматривается рабочей группой. Вообще нет доказательств, что была именно утечка изнутри.

"После первого взлома 17 апреля никаких мер по защите этого сервера тоже принято не было, даже не был изменён пароль администратора." - Меры были приняты. На тот момент было очевидно, что у злоумышленников есть пароль только к админке. Были отключены все аккаунты и сделано логирование всех действий пользователей, имеющих доступ к админке. В дальнейшем аккаунты включались по одному, изменяя пароль и проверяя права доступа.

Выводы, которая сделала комиссия, были сделаны программистом в первые часы после взлома. Фактически, это пересказ его предположений от своего лица.

Меры, предложенные комиссией, а также дополнительные, были предприняты сразу же после случившегося.



 


читайте также
Суд по иску ПАРНАС к мэрии назначен на 21 февраля
МОСКВА, 19.02.2018

В исковом заявлении говорится, что столичные чиновники отказали в проведении 12 ноября прошлого года публичной акции на Тверском бульваре и площади Никитские ворота по аргументам, не соответствующим Федеральному закону №54 (О митингах).

Отделение ПАРНАС в Удмуртии подало жалобу на региональный ЦИК за бездействие
УДМУРТИЯ, 16.02.2018

В отделении потребовали провести проверку в отношении ЦИК Удмуртии на предмет нарушения законодательства и призвали обязать региональную комиссию зарегистрировать Совет ПАРНАС в Удмуртии в качестве инициативной группы по проведению референдума по вопросу о возвращении в республики прямых выборов глав городов и районов.

ПАРНАС требует от региональных властей не препятствовать проведению акций памяти Бориса Немцова
Федеральное, 16.02.2018

ПАРНАС требует от властей Нижнего Новгорода, Санкт-Петербурга, Казани, Кирова, Томска и других городов пойти навстречу организаторам памятных мероприятий в честь Бориса Немцова и как можно скорее согласовать их на заявленных площадках.

Члена федерального политсовета ПАРНАС Максима Верникова вызвали в Центр "Э"
СВЕРДЛОВСКАЯ ОБЛАСТЬ, 15.02.2018

Верникова вызывают на 16 февраля в Центр по противодействию экстремизму ГУ МВД по Свердловской обл. "с целью опроса". Активист сообщил, что после консультации с адвокатом, решил не ходить на беседу, так как "опрос — не основание для вызова".

Марш памяти Бориса Немцова пройдет по бульварам
Федеральное, 15.02.2018

Шествие пройдет 25 февраля от Страстного бульвара до проспекта Сахарова. Сбор участников в 13:00. Колонны начнут движение в 14:00. Шествие завершится около 16 часов. Заявленное число участников — 30 тыс. человек.

ПАРНАС обратилась в Мосгордуму с предложением установить памятный знак на месте убийства Бориса Немцова
Федеральное, 09.02.2018

Установить знак предлагается на пешеходном ограждении Большого Москворецкого моста, непосредственно у места гибели Бориса Немцова.

ПАРНАС обратилась к мэру Москвы и к властям Ярославля по поводу установки мемориальной доски Борису Немцову
Федеральное, 09.02.2018

Мемориальную доску с барельефом предлагается установить на фасаде офиса партии в центре Москвы, где Борис Немцов работал в последние годы жизни. Также предлагается установить мемориальную доску на здании Ярославской областной Думы.

ЦИК Владимирской области пришлось удовлетворить ходатайство местного ПАРНАС
ВЛАДИМИРСКАЯ ОБЛАСТЬ, 06.02.2018

Комиссия зарегистрировала региональное отделение ПАРНАС в качестве инициативной группы по проведению референдума о возвращении прямых выборов . Ранее отказ ПАРНАС со стороны избиркома Владимирский областной суд признал незаконным.

Екатеринбургский ПАРНАС назвал призывы к бойкоту выборов «деструктивными»
СВЕРДЛОВСКАЯ ОБЛАСТЬ, 28.01.2018

В региональном отделении считают, что бойкот выборов приведет к росту голосов, отданных за Владимира Путина и призвали сторонников отказаться от поддержки «Забастовки избирателей».

ПАРНАС стала соорганизатором марша памяти Бориса Немцова
Федеральное, 19.01.2018

18 января в Сахаровском центре состоялось первое заседание организационного комитета марша памяти Бориса Немцова. В подготовке мероприятия примет участие большинство демократических сил России. Партия народной свободы (ПАРНАС) также участвует в организации акции.

Астраханские депутаты отклонили все инициативы регионального ПАРНАС
АСТРАХАНСКАЯ ОБЛАСТЬ, 18.01.2018

Помимо традиционного вопроса о возвращении выборов мэра на плебисцит предлагалось вынести вопросы об отмене льгот, раздельном сборе мусора, возвращении исторических названий улицам и населенным пунктам и сохранении троллейбусных маршрутов.

Иркутский ПАРНАС продолжает борьбу за возвращение прямых выборов в Приангарье
ИРКУТСКАЯ ОБЛАСТЬ, 15.01.2018

15 января в местную избирательную комиссию были поданы документы о проведении областного референдума. Это уже третья попытка иркутского ПАРНАС инициировать референдум в регионе.

С Новым 2018 годом!
Федеральное, 31.12.2017

Председатель ПАРНАС Михаил Касьянов поздравляет соратников и всех соотечетственников с Новым годом и Рождеством.

Избирком Пермского края поддержал инициативу ПАРНАС о проведении референдума
ПЕРМСКИЙ КРАЙ, 27.12.2017

Члены избиркома признали подготовленный пакет документов полностью соответствующим законодательству. Теперь инициативу ПАРНАС должно на ближайшем заседании рассмотреть краевое законодательной собрание. Это уже третья попытка ПАРНАС назначить референдум в Пермском крае.

Прошло первое собрание обновленного Подмосковного ПАРНАС
МОСКОВСКАЯ ОБЛАСТЬ, 23.12.2017

Отделение возглавили Борис Кузин, Николай Молоканов и Сергей Останин. Избраны также Совет регионального отделения и глава исполкома. Теперь региональная организация пройдет перерегистрацию в Минюсте и начнет работать над программой.

ПАРНАС поддержит усилия Навального, Собчак и Явлинского по допуску к выборам
Федеральное, 16.12.2017

ПАРНАС поддержит усилия потенциальных демократических кандидатов по допуску к выборам. Своего кандидата партия выдвигать не будет. С окончательной политической позиции на выборах ПАРНАС определится в преддверии голосования. Выдвижение Владимира Путина в партии назвали антиконституционным.

Политсовет ПАРНАС призвал немедленно освободить Александра Расторгуева
Федеральное, 16.12.2017

В партии считают задержание и арест главы партийного отделения в Ленинградской области, члена ФПС Александра Расторгуева политически мотивированными и грубо нарушающими права человека. В специальном заявлении партийцы призвали немедленно прекратить преследование и освободить активиста.

В 2018 году ПАРНАС сосредоточит усилия на выборах в Ярославскую облдуму
Федеральное, 16.12.2017

В ПАРНАС рассчитывают набрать в областном центре 12-15% голосов. Акценты кампании будут направлены на развитие местного самоуправления и выборность глав городов, перераспределение ресурсов от центра в регион, доступность и качество медицины и образования, создание здоровых условий для малого бизнеса. Избирательный штаб в Ярославле начнет работу в июле 2018 г.

Суд арестовал члена ФПС ПАРНАС Александра Расторгуева на девять суток
ЛЕНИНГРАДСКАЯ ОБЛАСТЬ, 15.12.2017

Его признали виновным в организации несанкционированного митинга 7 октября. Суд не принял во внимание, что постановление по делу было вынесено с нарушением закона, а протокол был написан задним числом.

Задержан член Федерального политсовета ПАРНАС Александр Расторгуев
ЛЕНИНГРАДСКАЯ ОБЛАСТЬ, 14.12.2017

Его обвиняют в организации несанкционированного митинга 7 октября. Сам активист считает, что задержание связано с запланированной на ближайшие дни стачкой дальнобойщиков. Расторгуев уже второй день находится в отделении полиции.