QAnon: где прячется Q и как метаданные изображений могут помочь его найти?

Поиски лица или группы лиц, которые стоят за теорией заговора QAnon, продолжаются до сих пор. Этот человек или группа, известные как “Q”, несут ответственность за посты, или «дропы», которые появлялись на анонимных интернет-форумах с октября 2017 г по декабрь 2020 г.

Этот поиск непрост. Однако новый подход позволил продвинуться в решении этой задачи. В метаданных изображений имеется самая разная информация, например свидетельства о происхождении изображения и, соответственно, об его создателе. Поскольку ко многим постам Q прикреплены изображения, изучение их метаданных может помочь понять, где (и когда) был Q.

Мы изучили метаданные изображений, которые связаны с 27 «дропами» Q. Из метаданных мы видим, что это скриншоты, снятые в двух часовых поясах: UTC+8 и в Тихоокеанском часовом поясе США. UTC+8 — часовой пояс, в который входят Филиппины, Китай, Монголия, Тайвань, Малайзия, Бруней, а также частично Индонезия, Россия и Австралия. Тихоокеанский часовой пояс включает в себя западные побережья Канады и США, штат Невада, часть штата Айдахо и северо-западное побережье Мексики.

Большая часть изображений, которые датированы от 7 ноября 2017 года по 23 сентября 2020 года, по-видимому, сняты в Тихоокеанском часовом поясе, тогда как еще несколько снимков от февраля 2018 г и 2019 г, по-видимому, сделаны в часовом поясе UTC+8.

Карта часовых поясов с Wikimedia Commons, UTC+8 выделен желтым (выделение Роберта Амура)

Если метаданные верны, то набор изображений, снятых в часовом поясе UTC+8, может свидетельствовать о том, что Q — единственный человек, который много путешествовал по Азии (останавливаясь, судя по фотографиям, как минимум в Гонконге, Чунцине, Шанхае и Бангкоке).

Датасет

Мы опубликовали наш код и результаты в репозитории Github и надеемся, что другие исследователи продолжат наши изыскания.

Мы скачали 1720 файлов изображений с https://qalerts.net/media/. Мы также скачали JSON-файл с текстом «дропов» Q и их базовых метаданных, не связанных с изображениям, с https://qalerts.app/data/json/posts.json.

Среди файлов — изображения, которые публиковал сам Q, а также изображения из постов, на которые отвечал Q. С помощью информации в posts.json мы убрали все изображения, опубликованные анонимными пользователями («анонами»), помимо Q. У нас получился датасет из 1087 изображений.

Затем мы использовали программу exiftool, чтобы извлечь метаданные из каждого снимка, и собрали информацию в таблицу. В этом файле таблицы в формате CSV содержится по одной строке и 275 столбцов на изображение. Не все строки заполнены в каждом столбце, поскольку обычно в изображениях есть не все типы метаданных.

Мы провели некоторые фотографии там, где они появились, то есть на 8chan/8kun и 4plebs (популярном архиве 4chan), чтобы убедиться, что метаданные присутствуют в оригинале и не являются артефактом qalerts.net. Мы обнаружили, что эти метаданные действительно присутствуют в оригиналах файлов. Мы также загрузили несколько изображений на действующий сайт 8kun, а затем снова скачили их. Это позволило нам убедиться, что текущая версия сайта 8kun не добавляет и не удаляет метаданные изображений, которые там публикуются.

Вернувшись к нашим 1087 изображениям, мы проверили, какие поля метаданных заполнены интересной информацией, а затем выполнили обратный поиск тех, где содержалась интересная или полезная информация. Так мы могли бы установить связь изображений Q с другими лицами, расширив список возможных кандидатов.
Это также позволило отсеять изображения, которые Q скачал откуда-то еще, а потом загрузил вместе с дропами.
Действительно, некоторые изображения, которые выглядели многообещающе, оказались скачанными с других сайтов вместе с метаданными. Например, фотография поля, которая появилась в дропе 3985, была взята с сайта Brownfield News — СМИ, посвященного сельскому хозяйству на Среднем Западе США.

Кадр с Brownfield News, взятый из дропа Q.

Изучив метаданные снимка, взятого с сайта Brownfield News, и сравнив его со снимком, скачанным с qalerts, мы убедились, что все метаданные остались от оригинала изображения. Иначе говоря, все метаданные снимка, опубликованного на 8kun, также присутствовали и на снимке, ранее опубликованном в статье. По-видимому, Q скачал копию снимка с сайта Brownfield News и опубликовал эту копию на 8kun, не меняя метаданных.

Но что насчет изображений из дропов Q, которые ранее нигде не встречались в сети?

Эти, по-видимому, оригинальные снимки оказались наиболее интересными. Некоторые из них не только не удалось сопоставить с первоисточником в сети (то есть, как можно предположить, их первоисточником является именно Q), но и можно было проанализировать благодаря метаданным.

В частности, мы вскоре сосредоточили внимание на группе из 29 изображений, где в поле UserComment было указано “Screenshot”. Они не просто помечены как скриншоты, но и, по-видимому, все действительно являются скриншотами, снятыми в фотогалерее мобильного устройства. В верхней и нижней части большинства фото видны черные полосы, а также горизонтальная эллипсоидная полоска в нижней части фото из дропа 3642 — явно элемент интерфейса пользователя.

Дроп 3642

Однако наиболее убедительное доказательство того, что это скриншоты, можно найти в одном из изображений: в дропе 4752 присутствует скриншот не просто фото, которое Q выбрал в галерее айфона и заскриншотил, но скриншот самой галереи. Интерфейс галереи знаком любому пользователю iPhone.

Дроп 4752

Из 29 фото, помеченных как скриншоты, в 27 также есть таймстамп в поле DateCreated. Эти 27 скриншотов с таймстампами присутствуют в 29 дропах Q (два изображения были опубликованы каждое по два раза).

Мы расчитали разницу во времени между таймстампами в метаданных и таймстампами самих постов Q (по UTC) и с помощью этих цифр установили предполагаемый часовой пояс Q.

В поисках часового пояса Q

В таймстампах метаданных изображений отсутствует часовой пояс. Однако из них все равно можно установить часовой пояс автора постов по разнице во времени с UTC. Для того, чтобы установить часовой пояс Q, мы использовали следующее уравнение:

Местное время скриншота + время поста + разница во времени с UTC для скриншота = время поста по UTC

или

Время на пост + разница во времени с UTC для скриншота = время поста по UTC − местное время скриншота

или

Время на пост + разница во времени с UTC для скриншота = расчетная разница во времени

Зная правую часть уравнения, нам нужно было найти переменные для левой части. Мы предположили, что Q делал скриншот фотографии, а затем через несколько минут (а не часов) публиковал дроп с этим снимком. Например, снимок в дропе 125 был сделан в 15:39 по местному времени (отмечено устройством, которое делало скриншот) 7 июля 2017 года и опубликован на 4chan в 15:43 по Тихоокеанскому времени (или 23:43 по UTC). Мы не знаем, действительно ли между обработкой и публикацией изображения прошло всего четыре минуты (а не несколько часов и четыре минуты), но такое предположение представляется логичным.

Кроме того, мы знаем, что большая часть разниц во времени с UTC составляет целое число часов. Например, не существует часового пояса UTC+1 час 27 минут. Соответственно, предположение, что на сам пост уходило меньше часа, дает нам разницу во времени с UTC для всех 27 изображений.

Инфографика Роберта Амура и Эбигейл В. Ксавье

Изучив изображения с разницей во времени UTC-7 и UTC-8, мы установили, что они соответствуют переходу на зимнее и летнее время в Тихоокеанском часовом поясе. В течение года Тихоокеанский часовой пояс меняется с UTC-8 на UTC-7 и обратно. Мы полагаем, что эти очевидные скопления представляют собой явное свидетельство того, что снимки в дропах Q делались в двух часовых поясах: UTC+8 и Тихоокеанском часовом поясе.

Свидетельства по времени поста

Эти данные говорят о том, что Q либо ждал по нескольку минут между скриншотом и публикацией поста, либо ждал всегда по нескольку часов и еще нескольку минут (что было бы куда более необычным поведением, чем немедленная публикация постов).

В случае с дропом 4752 можно подтвердить, что DateCreated — местное время устройства. Дроп 4752 — из набора Тихоокеанского часового пояса, а на изображении в нем присутствуют часы айфона (на момент скриншота они показывали 12:07). Согласно метаданным, время создания снимка — тоже 12:07. Q опубликовал пост в 12:13 по тихоокеанскому времени.

В целом мы видим одну и ту же картину дропов Q с изображениями из кластера UTC-7/UTC-8: например, в дропе 1206 есть скриншот, сделанный в 18:16 по местному времени 20 апреля 2018 года и опубликованный с таймстампом, соответствующим 18:18 по Тихоокеанскому времени, в то время как в дропе 1752 присутствует скриншот от 11:09 по местному времени, который Q запостил в 11:13 по Тихоокеанскому времени.

Похожая картина наблюдается и для кластера UTC+8. В дропе 682 содержится скриншот, поле DateCreated в метаданных которого указывает на то, что он был сделан в 8:38 по местному времени. Он был опубликован в 8:40 по UTC+8. Похожим образом, в дропах 683-686 присутствуют скриншоты, где в поле DateCreated указано 9:25 и 9:26 2 августа 2018 года. Они были опубликованы в период с 9:35:08 по 9:36:59 по UTC+8, то есть с разницей в 10 минут. Наконец, в дропе 2708 содержатся два фото, которые были сняты в 18:27 и 18:28 по местному времени и опубликованы в 18:31 по UTC+8.

Чтобы упрочить нашу уверенность в том, что время на пост занимает не более часа, а оставшаяся разница в часах составляет разницу с часовым поясом UTC, можно изучить распределение разницы между временем скриншота и таймстампом дропа по минутам. Если бы на пост уходил в среднем час или больше, мы бы видели более или менее равное распределение разницы в минутах помимо часов.

Инфографика Роберта Амура и Эбигейл В. Ксавье

Однако подавляющее большинство снимков, по-видимому, были опубликованы в пределах 10 минут, и ни в одном случае до поста, по-видимому, не прошло более получаса. Это позволяет предположить наличие характерного поведения и сделать вывод, что на пост уходило в пределах часа времени, а остальные часы разницы представляют собой разницу во времени между UTC и часовым поясом устройства.

Виды из окна гостиницы

Мы знаем, что Q, или другое лицо, достаточно близкое к нему, чтобы передать эти фотографии, ездил в разные места в Азии. Этот факт можно установить не только по контексту изображений, но и по их содержанию. Некоторые из них — панорамы городских пейзажей, другие — фотографии улиц крупным планом. Как правило, на фото нет очевидных туристических объектов или изображений людей крупным планом. Это вполне характерно для Q, последователи которого любят изучать изображения в поисках таинственных подсказок и метафор.

Пример, в дропе 682, опубликованном 8 февраля 2018 г (по UTC) Q опубликовал следующее изображение современного небоскреба с характерным шпилем (на всех изображениях в этом разделе мы убрали черные полосы под и над фото).

Позднее Q опубликовал крупный план навеса над главным входом в здание, а также фото парковки рядом с ним. Это дало нам некоторые улики: на машинах — синие номера, а на стройплощадке справа от здания видны несколько ярко-красных табличек с китайскими иероглифами. На здании справа видна надпись на белом “Bank of China”.

Дроп 682

Все эти детали говорят о том, что небоскреб находится в Китайской Народной Республике — но где именно? Мы вырезали характерную верхушку здания и выполнили обратный поиск этого изображения в Яндексе. Вскоре мы нашли соответствие — King Tower в Пудуне (район Шанхая).

Логично предположить, что снимок был сделан из высокого здания через дорогу к юго-западу. Согласно популярному китайскому картографическому и поисковому сервису Baidu, это здание — гостиница Shanghai Marriott Hotel Pudong East (上海金桥红枫万豪酒店).

Скриншот Baidu Maps

Два дня спустя, 10 февраля 2018 г, Q опубликовал снимок крупным планом большой буквы “Е”, которая свисает с потолка. На фоне видны характерные чередующиеся деревянные панели.

Дроп 707

В нижней части снимка видно, что с того же потолка свисает и другой объект похожего размера и цвета. Мы решили, что буква E — одна из букв, обозначающих зоны, например, в аэропорту. Простой поиск залов прибытия аэропортов в крупных городах в зоне UTC+8 дает нужный результат. На фото с Shutterstock видна та же E, которая свисает с того же потолка в шанхайском аэропорту Пудун:

Скриншот с сайта Shutterstock

В следующем дропе Q была фотография из центра Бангкока — возможно, Q хотел намекнуть, что члены «команды Q» недавно совершили перелет из шанхайского аэропорта Пудун в столицу Таиланда.

На фото ниже, опубликованном в дропе 708 10 февраля 2018 года, виден городской пейзаж. На переднем плане видно здание с надписью “Assumption College”.

Дроп 708

Характерный «пиксельный» небоскреб на заднем плане — Маха Нахон в центральном деловом районе Бангкока. На момент завершения строительства в 2016 году это было самое высокое здание в столице Таиланда.

Эта фотография, по-видимому, была снята с одного из средних этажей гостиницы The Peninsula Bangkok или из здания в том же квартале с похожим обзором, например River Condominiums или Light House Plaza.

Кампус колледжа Assumption у берега реки находится почти ровно на линии между The Peninsula Bangkok и небоскребом Маха Нахон. На пользовательском фото в Google, которое было снято из той же гостиницы в марте 2021 года, видны Assumption College и Маха Нахон с похожего ракурса (только чуть выше этажом), что и на фото Q.

Фото Google Maps / The Peninsula Bangkok

7 марта 2018 года в дропе 869 Q опубликовал снимок многолюдной рыночной улицы в восточноазиатской стране. В тексте дропа упоминался Эдвард Сноуден. В правом нижнем углу над лотком с мясом и на нескольких баннерах в центре изображения видны китайские иероглифы, однако их не вполне можно прочитать. Учитывая, что Сноуден сначала бежал в Гонконг, можно начать и оттуда.

Дроп 869

Архитектура и коммерческий характер района соответствуют узким улочкам Монгкока, популярного торгового района Гонконга. Прогулка по улочкам Монгкока с помощью панорам Baidu дает совпадениие на перекрестке улиц Nelson Street и Canton Street.

Кадр из панорам Baidu

Важно, что на фото Q перекресток виден сверху, но не с высоты птичьего полета. Это говорит о том, что фотограф находился в высоком здании к востоку. Наиболее очевидный кандидат — расположенная неподалеку гостиница Cordis.

Фотографии, опубликованные постояльцами этой гостиницы с соответствующим геотегом, позволяют подтвердить это соответствие. В декабре 2020 года постоялец Cordis опубликовал панорамное фото Монгкока. В нижней левой части детально виден тот же перекресток.

Фото: Google Maps / Cordis Hotel

При этом необходимо отметить, что скриншот фото Q из отеля Cordis был сделан пользователем в Тихоокеанском часовом поясе, что говорит о том, что либо Q публиковал не все фото «в прямом эфире» (и выбрал одно из старых фото), либо Q выкладывал снимки, полученные от своего контакта.

14 февраля 2019 года Q опубликовал дроп 2706 с фотографией торговой улицы где-то в китайскоговорящей стране. В отличие от предыдущих двух снимков, где были видны характерные небоскребы, это изображение было ничем не примечательно. Однако, поскольку это фото снято крупным планом, на нем видно несколько названий, например 朋泉聚，周师兄 (Старый брат Жоу)，中国民生银行 (Банк China Minsheng), as well as 诗丽堂美容SPA (СПА-салон «красавица Шилитань», также известный под английским названием Silktone SPA). Предприятия с двумя из этих названий находятся в Чунцине на юго-западе Китая.

Дроп 2706

Поскольку в Baidu Maps очень подробно указаны китайские фирмы, лучше всего начать поиск именно там. В этом сервисе также есть подробные панорамы, которые позволяют сравнивать кадры, снятые в разные годы. Проверив панорамы для разных адресов Silktone Beauty SPA в Чунцине, мы нашли совпадение на улице Бейжень Тяньже (北城天街). Там видны те же входы в магазины, те же вывески, та же крытая стоянка автобусов и те же характерные уличные фонари.

Image: Baidu Maps

Фотография Q была вновь снята с высоты, из здания с другой стороны улицы к северо-востоку. На карте Baidu можно найти вероятного кандидата: гостиницу Chongqing Fuli Hyatt Regency.

Это также подтверждается другим фото, которое Q опубликовал в том же дропе, где видны огни зданий и панорама города вдали. Судя по размытию, снимок был сделан на большой скорости, вероятно из самолета.

Дроп 2706

Взаимное расположение дорг и зданий соответствует карте справа от восточной взлетной полосы аэропорта Чунцина при подлете с юга.

Снимок Google Maps

Важно отметить, что в дропе 2503 от ноября 2018 года присутствует фотография изнутри гостиницы, где видна рождественская елка. В том же месяце, в дропе 2516, Q поздравил «анонов» с успешной геолокацией «последней фотки» в Чунцине, призвав их «следить за новостями».

Если эти снимки действительно являются оригиналами, то мы знаем местоположение фотографа и можем предположить, где находился человек, сделавший скриншот, но не обязательно тот, кто опубликовал соответствующие дропы. Не исключено, что тот, кто сделал скриншоты, переслал их третьему лицу, которое вскоре опубликовало их.
Тем не менее, эти кадры позволяют нам узнать новые факты о Q.

Мы знаем, что Q или очень близкий ему человек прилетел в аэропорт Пудун в Шанхае до 8 февраля 2018 года, что в период до 10 февраля 2018 года включительно он останавливался в гостинице The Peninsula в Бангкоке, в период до 7 марта включительно — в гостинице Cordis в Гонгконге, до 14 февраля 2019 года включительно — в гостинице Fuli Hyatt в Чунцине, куда он прилетел до этой даты.

Мы знаем, что Q или его «сообщник», который регулярно передает Q фото для постов, со вкусом выбирает гостиницы и путешествовал в четыре города в Таиланде и Китае, но. вероятно, не жил там постоянно. То, что кадры из Китая можно геолоцировать в том же часовом поясе, что мы установили по метаданным, делает предположение о местоположении Q или близкого ему лица несколько более вероятным.

На шаг ближе к разгадке?

Подавляющее большинство (более 68%) изображений из нашего датасета, по-видимому, были созданы пользователем (или пользователями) в Тихоокеанском часовом поясе. Контент Q, по-видимому, публиковался из Тихоокеанского часового пояса по крайней мере с 7 ноября 2017 года и по крайней мере до 23 декабря 2020 года, то есть как минимум в течение почти всего периода активности Q.

Напротив, снимки из часового пояса UTC+8 соответствуют только трем датам: 8 февраля 2018 года, 10 февраля 2018 года и 14 февраля 2019 года.

Это позволяет сделать определенные выводы о личности Q.

Во-первых, результаты исследования соответствуют гипотезе, что посты Q все время публиковал один и тот же человек. В этом случае Q жил или проводил большую часть своего времени в Тихоокеанском часовом поясе, периодически выезжая за рубеж. «Тихоокеанская гипотеза» соответствует другим количественным исследованиям времени дня, когда публиковались посты Q, а гипотеза «единственного Q» соответствует наблюдаемому факту, что у Q был доступ к одному и тому же набору фотографий в ноябре 2017 года и в мае 2017 года.

Во-вторых, наши выводы не опровергают наиболее популярную гипотезу среди исследователей Q, которая состоит в том, что авторство дропов изменилось в период с 4 января по 6 января 2018 года. В соответствии с этой гипотезой, нашы выводы говорят о том, что и старый, и новый Q публикуют посты из Тихоокеанского часового пояса.

Разумеется, это вполне возможно. В Тихоокеанском часовом поясе живут более 50 миллионов человек; один из них вполне мог занять место первого Q.

Мы обратились к Джиму Уоткинсу, владельцу 8chan/8kun, который живет на Филиппинах, с просьбой прокомментировать наши выводы о часовом поясе Q. В ответе по электронной почте, материал для которого он собрал через свой аккаунт в социальной сети Gab, Уоткинс подверг сомнению методологию исследования и его полезность, добавив, что в часовом поясе UTC+8 живут боле миллиарда человек. Ранее в комментариях Bellingcat Уоткинс отрицал, что он — это Q.

Bellingcat не удалось связаться с Роном Уоткинсом, который проживает в Японии. В недавном документальном сериале HBO Уоткинс также отрицал, что он — это Q.

Важно отметить, что сами по себе наши выводы не достаточны для того, чтобы установить, что какое-либо конкретное лицо — Q или его «сообщник».

Однако наше исследование может быть важным для других исследователей, которые пытаются установить личность Q и его «команды». Охота за Q продолжается — и судя по нашим выводам, ее следует продолжать в первую очередь в Тихоокеанском часовом поясе.

В исследовании принял участие Гевин Фокс (имя изменено). Авторы благодарят Жианкарло Фореллу и Максима Эдвардса за помощь в геолокации кадров из Восточной Азии.