ФСБ России требует полного доступа к Яндекс-почте и Яндекс-диску
04.06.2019, 13:29
Федеральная служба безопасности России направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс-Почта» и «Яндекс-Диск». Как сообщили РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу», это произошло несколько месяцев назад в рамках закона Яровой, согласно которому сервисы «Яндекса» находятся в реестре организаторов распространения информации (ОРИ) и обязаны по первому требованию делиться с силовиками «информацией, необходимой для декодирования» переписки пользователей.
На это законом отводится 10 дней, а в случае отказа должна состояться блокировка. По такому сценарию развивались события вокруг Telegram Павла Дурова.
«Яндекс» так не предоставил в ФСБ ключи, утверждают источники РБК. Но его сервисы все еще не заблокированы.
В компании считают, что ФСБ слишком широко трактует норму «закона Яровой», говорит один из источников.
«Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», - говорит он.
Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК, близкий к интернет-холдингу.
Сессионный ключ - это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть одной сессии, пояснил бывший разработчик The Tor Project Леонид Евдокимов.
«В случае с «Яндекс.Почта» он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку «Яндекс.Почта», либо полностью закроет браузер, либо выключит компьютер», - говорит он.
Таким ключом шифруются не только сообщения пользователя, но и все метаданные (когда, кто, с какого IP-адреса заходил в аккаунт и т.д.), а также логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации.
«Поэтому передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя», - утверждает Евдокимов.
Кроме того, ФСБ получит возможность анализировать поведение пользователей - например, в «Яндекс.Диск», завладев сессионным ключом, можно смотреть, кто и какие данные скачивал, отметил он.
По словам собеседника РБК, близкого к «Яндексу», компания обеспокоена тем, что сотрудничество с ФСБ может привести к оттоку пользователей, потере доли на рынке и, как следствие, существенным денежным потерям.
Но непредоставление ключей шифрования в установленный срок является нарушением действующего КоАП, который может грозить компании сначала штрафом в 1 млн рублей, а затем - предписанием Роскомнадзора, отказ исполнить которое должен повлечь блокировку.
«Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два - и это сразу же приведет к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», - отмечает партнер Центра цифровых прав Саркис Дарбинян.