ФСБ требует от компании "Яндекс" раскрыть данные пользователей
Несколько месяцев назад Федеральная служба безопасности РФ (ФСБ) запросила ключи для дешифровки данных пользователей сервисов "Яндекс.Почта" и "Яндекс.Диск", которые компания отказалась передать: ключи дают доступ к паролям всей экосистемы "Яндекса".
Ранее из-за отказа поделиться ключами в России по решению суда был заблокирован мессенджер Telegram, сообщает во вторник, 4 июня, новостной портал РБК со ссылкой на собственные информированные источники.
"Яндекс.Почта" и "Яндекс.Диск" находятся в реестре организаторов распространения информации (ОРИ) – интернет-площадок, на которых пользователи могут обмениваться сообщениями. Согласно так называемому "Закону Яровой", с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать ему "информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет", разъясняют авторы статьи.
В случае с Telegram, который был заблокирован в апреле 2018-го, правоохранительные органы хотели получить ключи для дешифровки переписки пользователей, которые подозревались в организации терактов в метро Санкт-Петербурга. Павел Дуров отказался передавать информацию, мотивируя свое решение необходимостью защиты частной жизни и политикой конфиденциальности.
В компании "Яндекс" считают, что ФСБ слишком широко трактует норму "Закона Яровой". Руководство обеспокоено тем, что сотрудничество с ФСБ может привести к оттоку пользователей, потере доли на рынке и, как следствие, существенным денежным потерям
"Передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя", – утверждает бывший разработчик The Tor Project Леонид Евдокимов. Он согласен с тезисом собеседника РБК о возможном снижении уровня безопасности в случае дешифровки пользовательского трафика. "Сама идея сессионного ключа состоит в том, что он не сохраняется, и тем самым обеспечивается безопасность передачи данных, так как в случае их перехвата злоумышленник не сможет их расшифровать", – отметил он.
Евдокимов убежден, что сессионные ключи позволяют получить не только доступ к данным, но и анализировать само поведение пользователей. Например, в "Яндекс.Диск", завладев сессионным ключом, можно смотреть, кто и какие данные скачивал, отметил он.
В статье отмечается, что отказ в предоставлении ключей шифрования в установленный срок является нарушением действующего Кодекса об административных правонарушениях. По закону ФСБ должна составить протокол об административном правонарушении и, если суд признает "Яндекс" виновным по статье 13.31 КоАП, может назначить компании штраф в размере до 1 млн руб., пояснил партнер Центра цифровых прав Саркис Дарбинян.
По его словам, если компания и после этого не предоставит ключи шифрования, Роскомнадзор вынесет ей предписание об устранении нарушения, на исполнение которого дается не менее 15 дней. Он, однако, считает маловероятным развитием событий блокировку сервисов "Яндекса" на территории России, как это было с Telegram. По данным SimilarWeb, число посещений "Яндекс.Почта" в апреле 2019 года составило 432 млн, а "Яндекс.Диск" – 27,32 млн.