«Яндекс» не отдал ФСБ ключи шифрования данных пользователей

Компания «Яндекс» не стала передавать ФСБ ключи для дешифровки данных пользователей сервисов «Почта» и «Диск», сообщает сегодня, 4 июня, РБК со ссылками на источники на IT-рынке и в «Яндексе».

По данным издания, несколько месяцев назад ФСБ направила в «Яндекс» требование предоставить данную информацию, но, несмотря на то, что по закону на это предусмотрено не более 10 дней, требование спецслужбы компания до сих пор не выполнила. Сервисы «Почта» и «Диск» находятся в реестре организаторов распространения информации (ОРИ), то есть интернет-площадок, на которых пользователи могут обмениваться сообщениями.

Представитель пресс-службы «Яндекса» сообщил, что компания «работает в полном соответствии с действующим законодательством», но не ответил, действительно ли они получили требование ФСБ предоставить ключи шифрования и не стали этого делать.

«Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», - приводит издание слова своего источника на ИТ-рынке. Собеседник добавил, что в «Яндексе» считают трактовку ФСБ норм закона слишком широкой.

Эксперты сообщили журналистам, что «Яндекс» использует для своих сервисов сессионный ключ, рассчитанный на шифрование только для одного соединения между пользователем и сервером. Ключ вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, и прекращает действовать через какое-то время. Им шифруются как сообщения пользователя, так и все метаданные, логин и пароль, которые пользователь отправляет на серверы в процессе авторизации. Передача сессионного ключа спецслужбам может позволить им получить логин и пароль от почтового ящика пользователя. Также эксперты отмечают, что «Яндекс» использует систему Single Sign-On, при которой после авторизации в «Яндекс.Почте» можно без повторной аутентификации перейти в любой другой сервис. При переходе должны использоваться разные ключи, но, если это не так, то спецслужбы с получением одного ключа могут открыть доступ к данным в разных сервисах «Яндекса». Это также позволит анализировать поведение пользователей, в том числе смотреть, кто и какие данные скачивает, пользуясь ключом «Яндекс.Диска».

Один из собеседников информагентства, близкий к «Яндексу», рассказал, что компания обеспокоена возможным оттоком пользователей, который может произойти после сотрудничества с ФСБ, потерей доли на рынке и денежными потерями при том, что иностранные компании ФСБ не принуждает к такому сотрудничеству и «Яндекс» видит «угрозу своему конкурентному положению».

Как разъяснили юристы, за непредставление ключей шифрования в установленный срок «Яндекс» могут оштрафовать на сумму до миллиона рублей в соответствии с положениями КоАП РФ. Если компания и после этого не выдаст ключи, Роскомнадзор вынесет предписание об устранении нарушения в течение 15 дней. После неисполнения предписания Роскомнадзор может обратиться в суд с требованием заблокировать на территории России сервисы, ключи шифрования от которых отказываются предоставить. Юристы обратили внимание, что такая система применялась для блокировки Telegram, при этом в законе не указаны прямо полномочия Роскомнадзора и ФСБ.

• В апреле прошлого года Таганский суд Москвы удовлетворил иск Роскомнадзора о блокировке в России мессенджера, поскольку IT-компания не предоставила ФСБ ключи для расшифровки данных. В попытках заблокировать Telegram, Роскомнадзор заблокировал миллионы IP-адресов, принадлежащих Amazon и Google, так как мессенджер начал использовать эти адреса для продолжения работы в России.
• Из-за неизбирательной массовой блокировки пострадали множество компаний и IT-сервисов, использующих инфраструктуру Amazon и Google, у некоторых интернет-пользователей из РФ перестал открываться сайт Google Также из-за действий Роскомнадзора произошел сбой продаж электронных полисов ОСАГО, наблюдались проблемы у российских пользователей Viber.
• Telegram по-прежнему остался доступен в России с помощью различных средств обхода блокировок.