ФСБ потребовала у «Яндекса» ключи для расшифровки данных пользователей
ФСБ направила в «Яндекс» требование предоставить ключи для расшифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск», выяснил РБК. Ведомство сделало запрос несколько месяцев назад, известно о нем стало только сейчас, компания до сих пор не предоставила спецслужбе ключи, хотя по закону на это отводится не более десяти дней, утверждают неназванные источники издания.
Официально в «Яндексе» эту информацию не подтверждают, но и не отрицают. ФСБ комментариев по этому поводу не дает.
В апреле прошлого года за отказ предоставить аналогичные ключи для дешифровки данных суд в Москве постановил заблокировать Telegram.
В ФСБ не ответили на запрос РБК. <...> Представитель пресс-службы «Яндекса» сообщил РБК, что компания «работает в полном соответствии с действующим законодательством». Он отказался отвечать на вопросы о том, действительно ли «Яндекс» получил требование от ФСБ предоставить ключи шифрования и не передал их.
По словам источника РБК на ИТ-рынке, в «Яндексе» считают, что ФСБ слишком широко трактует норму «закона Яровой». «Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам „Яндекса“. Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», — говорит он. Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК, близкий к интернет-холдингу.
Сессионный ключ — это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть одной сессии, пояснил бывший разработчик The Tor Project Леонид Евдокимов. «В случае с „Яндекс.Почта“ он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку „Яндекс.Почта“, либо полностью закроет браузер, либо выключит компьютер», — говорит он. Таким ключом шифруются не только сообщения пользователя, но и все метаданные (когда, кто, с какого IP-адреса заходил в аккаунт и т.д.), а также логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации. «Поэтому передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя», — утверждает Евдокимов. <...>
По словам собеседника РБК, близкого к «Яндексу», компания обеспокоена тем, что сотрудничество с ФСБ может привести к оттоку пользователей, потере доли на рынке и, как следствие, существенным денежным потерям.
РБК
За непредоставление ключей шифрования «Яндексу» может грозить до миллиона рублей штрафа. Если и после штрафа компания не передаст ключи, то Роскомнадзор сможет обратиться в суд с требованием заблокировать сервисы «Яндекса» на территории России (как это было с Telegram, он был оштрафован на 800 тысяч). Один из собеседников РБК предположил, что «скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу».
«Яндекс.Почта» и «Яндекс.Диск» находятся в реестре организаторов распространения информации (ОРИ), так как с помощью этих сервисов пользователи могут обмениваться сообщениями. По данным SimilarWeb, число посещений «Яндекс.Почты» в апреле 2019 года составило 432 миллиона, а «Яндекс.Диска» — 27,32 миллиона.
Согласно «закону Яровой», сайты из реестра ОРИ обязаны хранить переписку пользователей в течение полугода и предоставлять данные пользователей по требованию спецслужб. Сейчас в этот реестр включено более 170 сервисов, среди них «ВКонтакте», «Одноклассники» и «Сбербанк Онлайн». Накануне Роскомнадзор внес в реестр ОРИ сервис для знакомств Tinder.
4 июня, 15:28 В пресс-службе «Яндекса» прокомментировали информацию о требовании ФСБ предоставить ключи шифрования данных. Компания считает, что его можно выполнить без нарушения приватности пользователей.
В пресс-службе компании сообщили, что закон, в рамках которого поступил запрос ФСБ, применяется не только к «Яндексу», но и ко всем организаторам распространения информации, доступным на территории России, включая все почтовые сервисы, мессенджеры и социальные сети.
РБК
«В законе говорится о предоставлении информации, „необходимой для декодирования сообщений“, из него не следует требование о передаче ключей, которые необходимы для расшифровки всего трафика, — говорится в заявлении пресс-службы „Яндекса“, поступившем в редакцию „Медузы“. — Цель закона — соблюдение интересов безопасности, и мы полностью разделяем важность этой цели. При этом исполнение закона возможно без нарушения приватности данных пользователей. Мы считаем важным соблюдать баланс между безопасностью и приватностью пользователей, а также учитывать принципы равноприменимости регулирования для всех участников рынка».
«Медуза»