ФСБ потребовала ключи от почты «Яндекса»

Федеральная служба безопасности России направила в «Яндекс» требование предоставить ключи для дешифровки данных пользователей сервисов «Яндекс.Почта» и «Яндекс.Диск».

Как сообщили РБК источник на ИТ-рынке и собеседник, близкий к «Яндексу», это произошло несколько месяцев назад в рамках закона Яровой, согласно которому сервисы «Яндекса» находятся в реестре организаторов распространения информации (ОРИ) и обязаны по первому требованию делиться с силовиками «информацией, необходимой для декодирования» переписки пользователей.

На это законом отводится 10 дней, а в случае отказа должна состояться блокировка. По такому сценарию развивались события вокруг Telegram Павла Дурова.

«Яндекс» так не предоставил в ФСБ ключи, утверждают источники РБК. Но его сервисы все еще не заблокированы.

В компании считают, что ФСБ слишком широко трактует норму «закона Яровой», говорит один из источникрв.

«Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам «Яндекса». Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности», – говорит он.

Информацию про то, что ФСБ требует от компании именно сессионные ключи, подтвердил и второй собеседник РБК, близкий к интернет-холдингу.

Сессионный ключ – это ключ шифрования, который используется только для одного соединения между пользователем и сервером, то есть одной сессии, пояснил бывший разработчик The Tor Project Леонид Евдокимов.

«В случае с «Яндекс.Почта» он вырабатывается, когда пользователь только заходит на страницу mail.yandex.ru, а прекращает свое действие в зависимости от настроек через какое-то время, после того как пользователь либо закроет вкладку «Яндекс.Почта», либо полностью закроет браузер, либо выключит компьютер», – говорит он. Таким ключом шифруются не только сообщения пользователя, но и все метаданные (когда, кто, с какого IP-адреса заходил в аккаунт и т.д.), а также логин и пароль, которые пользователь отправляет на серверы «Яндекса» в процессе авторизации.

«Поэтому передача сессионного ключа какого-либо пользователя спецслужбам может позволить им завладеть логином и паролем от почтового ящика этого пользователя», – утверждает Евдокимов.

Кроме того, ФСБ получит возможность анализировать поведение пользователей – например, в «Яндекс.Диск», завладев сессионным ключом, можно смотреть, кто и какие данные скачивал, отметил он.

По словам собеседника РБК, близкого к «Яндексу», компания обеспокоена тем, что сотрудничество с ФСБ может привести к оттоку пользователей, потере доли на рынке и, как следствие, существенным денежным потерям.

Но непредоставление ключей шифрования в установленный срок является нарушением действующего КоАП, который может грозить компании сначала штрафом в 1 млн рублей, а затем – предписанием Роскомнадзора, отказ исполнить которое должен повлечь блокировку.

«Скорее, они будут долго торговаться и в итоге придут к какому-то компромиссу. У государства здесь есть сильный рычаг. Если «Яндекс» совсем не будет идти на диалог, допускаю, что в целях устрашения они могут ограничить доступ к его сервисам на день-два – и это сразу же приведет к большим убыткам для компании. Но это будет просто кошмар, если спецслужбы начнут блокировать сервисы крупнейшей российской интернет-компании на постоянной основе», – отмечает партнер Центра цифровых прав Саркис Дарбинян.

Источник: finanz.ru