ЕЩЁ НОВОСТИ
ГлавнаяПолитика › ФСБ России требует полного доступа к Яндекс-почте и Яндекс-диску

ФСБ России требует полного доступа к Яндекс-почте и Яндекс-диску

04.06.2019, 13:29

Федеральная служба безопасности России направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс-Почта» и «Яндекс-Диск». Как сообщили РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу», это произошло несколько месяцев назад в рамках закона Яровой, согласно которому сервисы «Яндекса» находятся в реестре организаторов распространения информации (ОРИ) и обязаны по первому требованию делиться с силовиками «информацией, необходимой для декодирования» переписки пользователей. 


На это законом отводится 10 дней, а в случае отказа должна состояться блокировка. По такому сценарию развивались события вокруг Telegram Павла Дурова. «Яндекс» так не предоставил в ФСБ ключи, утверждают источники РБК. Но его сервисы все еще не заблокированы. 

В компании считают, что ФСБ слишком широко трактует норму «закона Яровой», говорит один из источников. «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», - говорит он. 

Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК, близкий к интернет-холдингу. Сессионный ключ - это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть одной сессии, пояснил бывший разработчик The Tor Project Леонид Евдокимов. 

«В случае с «Яндекс.Почта» он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку «Яндекс.Почта», либо полностью закроет браузер, либо выключит компьютер», - говорит он. 

Таким ключом шифруются не только сообщения пользователя, но и все метаданные (когда, кто, с какого IP-адреса заходил в аккаунт и т.д.), а также логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. 

«Поэтому передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя», - утверждает Евдокимов. 

Кроме того, ФСБ получит возможность анализировать поведение пользователей - например, в «Яндекс.Диск», завладев сессионным ключом, можно смотреть, кто и какие данные скачивал, отметил он. По словам собеседника РБК, близкого к «Яндексу», компания обеспокоена тем, что сотрудничество с ФСБ может привести к оттоку пользователей, потере доли на рынке и, как следствие, существенным денежным потерям. 

Но непредоставление ключей шифрования в установленный срок является нарушением действующего КоАП, который может грозить компании сначала штрафом в 1 млн рублей, а затем - предписанием Роскомнадзора, отказ исполнить которое должен повлечь блокировку. 

«Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два - и это сразу же приведет к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», - отмечает партнер Центра цифровых прав Саркис Дарбинян.
Accelerated with Web Optimizer