Первым о заглушке сообщил блогер @newaviator по имени Рубен, пилот Boeing 777. Он рассказал TJ, что зашёл на aviaforum. ru с мобильного телефона, когда был на заправке в московском районе Марьино, и увидел сообщение: «В поддержку Российского государства данный сайт можно просматривать только с отечественного Яндекс. Браузер».
По словам Рубена, другие сайты при этом открывались нормально. В это время он был подключён к бесплатному Wi-Fi на заправке, но какому именно, он не вспомнил.
Позднее блогер @alxp90 опубликовал скриншот такой же заглушки, но обнаруженной им на сайте Sportbox. ru. принадлежащем холдингу ВГТРК. По его словам, он зашёл посмотреть счёт матча, когда сидел дома в Санкт-Петербурге с айфона через Safari на провайдере «ЭлектронТелеком».
Ещё у одного пользователя такое же сообщение о санкциях против иностранных браузеров отображалось при заходе на сайт «Пикабу». По его словам, проблема повторялась не раз, причём он использовал Chrome, а не Safari.
Воспроизвести появление заглушки другим пользователям Safari на iOS не удавалось. Не получилось это сделать и у @alxp90: он наблюдал её только один раз.
Представители Sportbox. ru заявили TJ, что проблема может заключаться во вредоносном ПО на смартфонах пользователей: «Мы не блокируем браузеры никаких производителей и сегодня ничего не тестируем. Скорее всего, проблема в конкретном телефоне, какой-то adware».
В технической поддержке «ЭлектронТелеком» заявили TJ, что не занимаются рекламой «Яндекс. Браузера». В пресс-службе «Яндекса» также сообщили, что не имеют к этому никакого отношения.
Как рассказал TJ основатель Liveinternet Герман Клименко, счётчики его сервиса статистики также не имеют к этому отношения. Он предполагает, что проблема может заключаться в скриптах баннеров рекламных сетей: «Это чей-то скрипт. Но скачиваемый. Код Liveinternet ставится вебмастером и не может быть изменён с нашей стороны».
Проблема с появлением заглушки проявилась и на TJ у одного из читателей: через домен play. googles. ru. com его переадресовывало на страницу браузера UC Browser в Google Play. Как говорится в описании приложения, его создатели уже не первый раз сталкивались с недобросовестной рекламой, выполненной неизвестными людьми.
Технический директор «Комитета» Илья Чекальский выяснил, что заглушка отображается на страницах, содержащих коды статистики «Яндекс. Метрики» или Google Analytics. Проблема исчезает, если убрать коды счётчиков или изменить протокол http на https у ссылок скриптов. Как предполагает Чекальский, злоумышленники совершают атаку man in the middle на уровне магистрального провайдера (например, «Ростелекома») или точки обмена трафиком (например, MSK-IX). Вместе с тем, Клименко и Чекальский считают, что причина проблемы может быть во взломанных роутерах.
В «Яндексе» обещали TJ провести расследование на предмет связи атаки с интеграцией http-версии «Яндекс. Метрики» и Google Analytics и принять меры по переводу своего сервиса в режим https-only.
Сторонние «доброжелатели» не первый раз пытаются помочь «Яндексу». 19 февраля депутат Госдумы Сергей Железняк прокомментировал подачу «Яндексом» жалобы в ФАС на Google: «[Если] для справедливого и равноправного доступа людей к российским интернет-сервисам необходимо совершенствовать законодательство, мы будем готовы этой работой заняться вместе с отечественной интернет-индустрией и надеемся на командную работу в интересах страны и наших граждан».