Pull to refresh

РБК: «Яндекс» отказался выдать ФСБ сессионные ключи шифрования

Reading time 4 min
Views 26K

Карикатура: Сергей Ёлкин, DW

Несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», рассказали РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу».

Оба источника подтверждают, что российская компания отказалась подчиниться ФСБ и за прошедшее время так и не предоставила ключи. «Яндекс.Почта» и «Яндекс.Диск» входят в Реестр организаторов распространителей информации и по закону обязано предоставлять ключи шифрования в течение десяти дней после поступления запроса, а прошло уже гораздо больше времени.

Издание РБК опросило экспертов с вопросом, чем грозит «Яндексу» такое неподчинение. С аналогичной проблемой скоро может столкнуться Tinder, а последствия неподчинения можно наблюдать на примере Telegram. Сначала сотрудники ФСБ составили протокол на Telegram за нарушение КоАП, а потом Роскомнадзор начал блокаду Telegram с веерной блокировкой миллионов посторонних IP-адресов.

Согласно законодательству, Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».

Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством» и отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.

Как говорит источник РБК, между «Яндексом» и ФСБ идёт дискуссия в юридической плоскости. В частности, юристы «Яндекса» считают «слишком широкой» трактовку «закона Яровой» сотрудниками ФСБ: «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователя к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», — сказал он. Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК.

Сессионные ключи шифруют только одно соединение между пользователем и сервером, в том числе логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. Узнав пароль, спецслужбы фактически получают доступ ко всем коммуникациям и приватным данным пользователя на других сервисах «Яндекса», а не только к его переписке. Вероятно, именно это юристы называют «широкой трактовкой» закона.

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий указал, что «Яндекс» использует систему Single Sign-On, при которой, авторизовавшись в «Яндекс.Почта», можно без повторной аутентификации перейти в «Яндекс.Музыка», «Яндекс.Диск» и любой другой сервис: «Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах «Яндекса». Тогда передавать сессионный ключ, конечно, небезопасно».

Один из собеседников РБК также добавил, что «Яндекс» озабочен своим имиджем в глазах пользователей. Компания беспокоится, что сотрудничество с ФСБ может привести к оттоку пользователей и потере доли на рынке: «ФСБ не принуждает к такому сотрудничеству иностранные компании, например Google, поэтому «Яндекс» тут видит угрозу своему конкурентному положению», — сказал собеседник.

Партнёр Центра цифровых прав Саркис Дарбинян считает позицию «Яндекса» довольно сильной в том смысле, что вряд ли ФСБ осмелится инициировать постоянную блокировку на территории России сервисов крупнейшей российской интернет-компании, но и у ФСБ есть рычаг давления, который спецслужба может использовать: «Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два — и это сразу же приведёт к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», — сказал он.

Филипп Кулин, автор канала «Эшер II», согласен, что данный слив, скорее всего, происходит от самого «Яндекса», который таким образом просит о помощи.

Версию о сливе от «Яндекса» выдвинула Александра Баязитова, автор канала «Адские бабки»: «Глупо сомневаться, что раньше Яндекс не работал с ФСБ. Конечно, работал, и по их требованию всё им раскрывал и давал допуски к нашим небольшим тайнам, — пишет она. — Но не надо быть профи в технических нюансах, чтобы понять: теперь ФСБ требует такое, утечку чего Яндекс не может потом скрыть. Одно дело — предоставить временный допуск товарища капитана к вашей почте, другое — отдать им возможность доступа к миллионам паролей от всех сервисов. В лучшем случае эти пароли просто окажутся в продаже на Савеловском рынке, а ваши неудачные фотки с Яндекс.Диска — в свободном доступе. В худшем — пойдёт волна краж с кошельков Яндекс.Денег, или блокировки устройств, которые привязаны к аккаунтам Яндекса… До сих пор Яндекс был, пожалуй, единственным реальным достижением российской экономики за двадцать лет. Как быстро его угробят?»

Канал Roem.ru напоминает, что Медведев ещё в 2018-м году запретил интернетчикам обсуждать их общение с ФСБ, так что Яндекс оказался в патовой ситуации: «Заверять владельцев email и данных в безопасности сервисов — необходимо. Но сложно одновременно и молчать и строить PR-оборону от подозрений в сливе данных».

Пресс-секретарь президента РФ отказался прокомментировать ситуацию вокруг «Яндекса» и ФСБ: «Это не тема Кремля все-таки, нужно интересоваться в Федеральной службе безопасности или в правительстве, но это не тема Администрации президента», — сказал Дмитрий Песков.

В реестр ОРИ на данный момент включено более 170 сервисов, в том числе Tinder, «ВКонтакте», «Одноклассники», BlaBlaCar, Badoo, Vimeo и другие. В январе 2019 года в реестр включён сервис «Сбербанк Онлайн».
Tags:
Hubs:
+33
Comments 113
Comments Comments 113

Other news