В российской части сети Tor выявили узлы соединения, которые перехватывали онлайн-трафик с целью отслеживания активности пользователей Фейсбука. Узлы обнаружили ученые Карлстадткого университета (что в Швеции), по ходу эксперимента, целью которого было обнаружение в Tor подозрительных узлов.

В результате четырехмесячного эксперимента исследователи с помощью специального сканера собрали данные обо всех существующих в Tor узлах (всего их было обнаружено около тысячи). После завершения эксперимента код сканера был выложен в публичный доступ.

Оказалось, что среди всех обнаруженных внешних узлов, 25 можно назвать потенциально небезопасными, 18 из которых «прописаны» по российским IP-адресам.

При этом, как посчитали ученые, все 18 российских узлов плюс один американский, скорее всего управляются одной хакерской группировкой.

Основное предназначение этих узлов заключалось в сборе данных о заходе пользователей на определенные ресурсы (к примеру, хакерами отслеживались посещения Facebook), а отнюдь не в массовой слежке за пользовательскими действиями.

Исследователи отдельно уточнили, что им не удалось вскрыть узлов, следящих за ВКонтакте и Mail.ru.

Также авторы отметили, что эффективность вскрытых ими узлов вряд ли представляет серьезную угрозу для пользующихся Tor, поскольку чаще всего пользователи будут направляться на те узлы, у которых выше пропускная способность, а «испорченные» узлы изначально характеризуются пониженной пропускной способностью и поэтому вероятность направления пользователя на них крайне мала.

Но если посмотреть на проблему с иного ракурса, принцип функционирования потенциально опасных узлов (они подменяют подпись в сертификатах SSL) нельзя назвать чем-то особенным для Tor, поскольку такие методы вполне могут использоваться для мониторинга онлайновой активности устройств, имеющих подсоединение к открытому Wi-Fi.