Ботовод Коланджело? Применение методов исследования открытых источников к недавнему скандалу в НБА

Translations:

29 мая издание The Ringer опубликовало расследование о пяти Твиттер-аккаунтах, по-видимому, связанных с Брайаном Коланджело, генеральным менеджером клуба НБА “Philadelphia 76ers”. После публикации расследования Коланджело подтвердил, что ведет один из этих аккаунтов (@phila1234567), однако только для мониторинга новостей, и не твитит с него. Остальные четыре аккаента — @AlVic40117560 (“Eric jr”), @Honesta34197118 (“HonestAbe”), @Enoughunkownso1 (“Enoughunkownsources”) и @s_bonhams (“Still Balling”) — твитили о клубе  “Philadelphia 76ers” и на другие темы, интересные Коланджело, например о клубе “Toronto Raptors” (где он ранее работал), мужской баскетбольной команде университета Чикаго (где играет его сын) и, разумеется, пылко защищали решения, принятые Брайаном Коланджело.

Известный игрок или менеджер НБА, тайно управляющий «ботами» в Твиттере, — не особо удивительная новость: так, в прошлом году выяснилось, что игрок “Golden State Warriors” Кевин Дюрант ведет несколько аккаунтов в Твиттере, с которых выступает в свою защиту против его критиков в интернете. Однако этот случай стал настоящим скандалом, поскольку аккаунты, связанные с Коланджело (и, как выяснилось после публикации расследования The Ringer, с его женой) публично и грубо критиковали бывших и действующих игроков «Филадельфии», в частности «звездного» центрового Джоэла Эмбиида и бывшего в прошлом году первым номером драфта НБА Маркелла Фульца. Кроме того, один из аккаунтов, возможно, разгласил закрытые медицинские данные — непройденный медосмотр бывшего центрового «Филадельфии» Джалила Окафора.

Хотя изучение твитов «ботов» баскетбольного менеджера — не такая серьезная задача, как установление виновных в сбитии пассажирского самолета или анализ остатков химических боеприпасов, большая часть методик расследования та же самая. В этой статье мы разберем некоторые методы расследования Бена Детрика, The Ringer и других, расширивших первоначальное исследование.

«Центровые» аккаунты

Одна из простейших методик установления владельца аккаунта (или, выражаясь более конспирологически, лица, которое должно казаться владельцем аккаунта) — тщательное изучение списка фолловеров аккаунта, а также аккаунтов, которые фолловит этот аккаунт. Хотя эта методика применима не всегда, часто можно установить малоизвестных пользователей Твиттера, с которыми взаимодействует аккаунт, изучив их лайки и список читаемых. Пожалуй, наиболее известна история, когда Эшли Фейнберг (ранее работавшая в Gawker/Gizmodo, сейчас журналистка Huffington Post) обнаружила тайный аккаунт бывшего директора ФБР Джеймса Коуми, воспользовавшись несколькими публичными намеками самого Коуми, а также изучив относительно малоизвестные аккаунты семьи Коуми в Твиттере и Инстаграме. Изучив неактивные аккаунты и упоминания в Твиттере, Фейнберг обнаружила аккаунт сына Коуми в Инстаграме, который оказался связан с аккаунтом в Инстаграме самого Коуми, с помощью которого и удалось найти его аккаунт в Твиттере.

Та же методика была применена к пяти аккаунтам, связанным с Коланджело. Четыре из пяти аккаунтов стали закрытыми вскоре после того, как издание The Ringer направило запрос «Филадельфии» (важно отметить, что The Ringer спросили только о двух аккаунтах, при этом немедленно после запроса «подзамочными» стали другие три), однако аккаунт “Eric jr” (@AlVic40117560) остается открытым. К счастью, The Ringer тщательно заскриншотили активность этих аккаунтов, когда они еще не были закрытыми.

Подобно сыну Джеймса Коуми, который фолловил малоизвестный аккаунт его отца, аккаунты, читаемые аккаунтами, связанными с Коланджело, многое говорят об их операторе или операторах. Например, аккаунт “Still Balling” (@s_bonhams) фолловил такие аккаунты, как «нескольких товарищей его сына по баскетбольной команде колледжа, бывшего тренера из школы его сына, а также аккаунт с тем же именем, что и у агента Уоррена ЛеГари, который ранее был представителем Коланджело». Следует отметить, что команда его сына — это команда университета Чикаго, которая за последнее десятилетие практически не добивалась успехов, с ареной менее чем на 2000 мест. Аккаунт “Eric jr” также активно поддерживал мужскую баскетбольную команду университета Чикаго и даже вел в Твиттере текстовые трансляции их игр (что исключает сына Коланджело из списка «подозреваемых» в ведении этих аккаунтов):

С помощью инструмента FollowerWonk можно сравнить фолловеров и читаемых пользователей двух или трех разных аккаунтов.

Еще один «центровой» аккаунт, общий для всех подозреваемых аккаунтов — @WarrenLeGarie, аккаунт бывшего агента Коланджело, который опубликовал всего два твита и зафолловил дюжину пользователей. Из тех 84 пользователей, которые зафолловили LeGarie до публикации расследования The Ringer, пять — подозрительные аккаунты, связанные с Коланджело.

Такие «центровые» аккаунты часто полезны для поиска аккаунтов, которые ведет один и тот же человек, так как пользователи после создания новых аккаунтов часто фолловят или добавляют в друзья одни и те же аккаунты. Например, сепаратист, воевавший на востоке Украины, чью личность команда Bellingcat изучала в связи с гибелью MH17, добавил свою сестру и жену в друзья ВКонтакте с обоих своих аккаунтов. Этот сепаратист часто переключался между аккаунтами с похожими именами, однако одной из немногих общих черт всех этих аккаунтов было то, что после создания аккаунта он тут же добавлял в друзья свою сестру и жену. Ниже видны три аккаунта «Ванька Самарского» (настоящее имя — «Иван Кривобедрый»), два из которых ныне удалены, в списках друзей его жены и сестры.

 

Восстановление пароля по электронной почте и телефону

После публикации расследований изданием The Ringer, фанаты «Филадельфии» почти тут же стали проверять восстановление пароля пяти упомянутых в нем Твиттер-аккаунтов. Представившись Твиттеру владельцем аккаунта, потерявшим пароль, и перейдя на страницу восстановления пароля, можно получить немного информации, предоставленной во время регистрации аккаунта, в том числе фрагмент электронной почты и номера телефона. Проверка показала, что у трех аккаунтов on (“Still Balling”, “Eric jr”, “Enoughunkownsources”) был указан номер телефона, оканчивающийся на «91», у еще одного (@phila1234567, в ведении которого признался Коланджело) — оканчивающийся на «75»,  а также три разных адреса Gmail (начинавшиеся с “di”, “no” и “bp”).

Аккаунт @phila1234567 соответствует личной информации Брайана Коланджело, в частности адресу его электронной почты (bpcolangelo@gmail.com) и номеру телефона (который, как подтвердили различные журналисты, действительно заканчивается на «75»). Наиболее интересный поворот в этой истории наступил, когда после исследования открытых источников выяснилось, что номер телефона жены Брайана Коланджело заканчивается как раз на «91». Это означает, что с нею могут быть связаны Твиттер-аккаунты, которые публиковали информацию, ставшую причиной скандала. Единственный аккаунт, информация которого была непосредственно связана с Коланджело, использовался только для мониторинга новостей. Чтобы установить эту связь, фанаты «Филадельфии» воспользовались восстановлением пароля, обнаружив две последние цифры номера телефона, а также ее публичную страницу, где также был указан ее номер телефона.

По данным ESPN, официальное расследование скандала силами клуба «Филадельфия» сосредоточено на жене Коланджело. Недавнее обнаружение у нее телефонного номера, оканчивающегося на «91», похоже, говорит о том, что расследование движется в нужном направлении.

Изучение закрытых аккаунтов

Хотя журналисты TheRinger имели полный доступ к аккаунтам, которые были переведены «под замок», те, кто не имеют доступа к этим аккаунтам, все равно могут некоторым образом исследовать их.

Если аккаунт в Твиттере становится закрытым, его твиты могут читать только пользователи, которые его фолловят. Пользователь, которого фолловит закрытый аккаунт, но который при этом не читает этот закрытый аккаунт, не видит его твиты, даже если в них упоминается (“@username“) этот пользователь.

Существует трудоемкий способ установить аккаунты, которые фолловит закрытый аккаунт и которые фолловят его. У TweetBeaver имеется инструмент отслеживания взаимных фолловеров, который показывает (по одному) взаимных или невзаимных фолловеров закрытого аккаунта. Например, в случае со “Still Balling” (@s_bonhams) TweetBeaver показывает, что этот аккаунт фолловит аккаунт @BillSimmons, но этот фолловинг не является взаимным.

Хотя напрямую просматривать твиты закрытого аккаунта невозможно, можно увидеть твиты, обращенные к этому аккаунту, что зачастую помогает понять, о чем идет речь в разговоре. На странице провдинутого поиска Твиттера можно найти все твиты с упоминанием ныне закрытого аккаунта “Still Balling” (@s_bonhams) или обращенные непосредственно к нему с момента создания аккаунта (февраль 2017 г) до периода за несколько дней до публикации расследования The Ringer. Такой поиск выдает следующие результаты. Такой же поиск можно провести, введя @s_bonhams since:2017-02-01 until:2018-05-27  в строку поиска Твиттера в правой верхней части интерфейса пользователя.

Хотя твиты @s_bonhams / “Still Balling” по-прежнему скрыты от нас, тема разговора в большинстве случаев очевидна. Например, из этой серии твитов ясно, что аккаунт, связанный с Коланджело (точнее, с женой Коланджело) говорит о решениях, принятых Брайаном Коланджело, и об университете Чикаго (“U of Chi”), где сын Коланджело играет в баскетбол.

Твиты закрытых аккаунтов также можно найти по поиску юзернейма в поисковиках, которые кешируют страницы (например Google, Yandex или Bing) в надежде, что сохранилась кешированная страница с твитами. Кроме того, в двух наиболее популярных онлайн-архивах (web.archive.org и archive.today) могут остаться твиты, сохраненные до того, как страница стала личной. К сожалению, издание The Ringer не сохранило страницы ныне закрытых аккаунтов ни на одном из этих сайтов: страница аккаунта “Still Balling” была впервые заархивирована уже после публикации расследования. Подробнее об использовании онлайн-архиваторов см. вышедшее в этом году руководство Bellingcat.

Извлеченные уроки

Недавнее расследование The Ringer не только сильно опозорило Брайана Коланджело, его семью и клуб «Филадельфия», но и показало, как много информации кроется у всех на виду в открытых источниках, и как мало усилий нужно, чтобы найти важные совпадения. Поэтому многие люди, не знакомые с методиками онлайн-расследователей (не важно, дотошных пользователей Reddit или профессиональных исследователей биографий), рискуют случайно раскрыть слишком много информации. На этом попались уже не только директор ФБР и менеджер НБА, но и молодые российские солдаты в Украине, сторонники ИГ в Европе, жена украинского чиновника-коррупционера и американские солдаты с фитнесс-браслетами на базах за рубежом.

Нейтан Патин содействовал в расследовании и редактировании этого материала.