ФСБ потребовала у Яндекса ключи для дешифровки данных пользователей Почты и Диска

Несколько месяцев назад ФСБ направила в Яндекс требование предоставить ключи для дешифровки данных пользователей сервисов Яндекс.Почта и Яндекс.Диск. Источники на ИТ-рынке утверждают, что за истекшее время Яндекс так и не предоставил в спецслужбу ключи, хотя по закону на это отводится не более десяти дней. 

Требование ФСБ основывается на том, что сервисы Яндекс.Почта и Яндекс.Диск находятся в реестре организаторов распространения информации (ОРИ), то есть интернет-площадок, на которых пользователи могут обмениваться сообщениями. Согласно закону Яровой, с 20 июля 2016 года Центр оперативно-технических мероприятий ФСБ может потребовать от любого сервиса из реестра ОРИ передать ему «информацию, необходимую для декодирования принимаемых, передаваемых, доставляемых и (или) обрабатываемых электронных сообщений пользователей сети интернет».

Представитель пресс-службы Яндекса, на просьбу прокомментировать ситуацию, сообщил лишь, что компания «работает в полном соответствии с действующим законодательством», отказавшись отвечать на вопросы о том, действительно ли Яндекс получил требование от ФСБ предоставить ключи шифрования и не передал их.

По словам источника на ИТ-рынке, в Яндексе считают, что ФСБ слишком широко трактует нормы закона Яровой:

«Спецслужба требует от компании предоставить сессионные ключи, которые, по сути, дают доступ не только, например, к сообщениям в почте, но и позволяют анализировать весь трафик от пользователей к находящимся в реестре ОРИ сервисам Яндекса. Не говоря уже о том, что дешифровка всего трафика в рамках пользовательской сессии несет значительные риски в плане безопасности».

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий подтверждает, что «сессионный ключ в любом случае шифрует логин и пароль, которые пользователь передает на сервер в процессе авторизации, так что передача такого ключа ФСБ может дать доступ к аутентификационным данным пользователя». 

Он указал также, что Яндекс использует систему Single Sign-On, при которой, авторизовавшись в Яндекс.Почте, можно без повторной аутентификации перейти в Яндекс.Музыку, Яндекс.Диск и любой другой сервис компании:

«Ключ шифрования при переходе в разные сервисы должен быть свой, но если это не так, то это архитектурная проблема, которая может открыть доступ к данным в разных сервисах Яндекса. Тогда передавать сессионный ключ, конечно, небезопасно».

Партнер Центра цифровых прав Саркис Дарбинян пояснил, что непредоставление ключей шифрования в установленный срок является нарушением действующего Кодекса об административных правонарушениях. По закону ФСБ должна составить протокол об административном правонарушении и, если суд признает Яндекс виновным по статье 13.31 КоАП, может назначить компании штраф в размере до 1 млн рублей.

По его словам, если компания и после этого не предоставит ключи шифрования, Роскомнадзор вынесет ей предписание об устранении нарушения, на исполнение которого дается не менее 15 дней:

«В случае неисполнения предписания Роскомнадзор, в теории, может обратиться в суд с требованием заблокировать на территории России сервисы, ключи шифрования от которых отказываются предоставить. Во всяком случае такая процедура была использована в истории с блокировкой Telegram, в законе же прямо не указаны полномочия Роскомнадзора и ФСБ в данной ситуации».

Напомним, в апреле прошлого года, из-за отказа поделиться с ФСБ ключами шифрования, в России был заблокирован мессенджер Telegram. Основатель Telegram Павел Дуров отказался передавать информацию, мотивируя это защитой частной жизни и политикой конфиденциальности.

Источник: РБК
subscribe

Подпишитесь на рассылку SearchEngines

— Статьи мировых экспертов

— Аналитические обзоры

— Важные новости

— Горячие темы с нашего форума

preview Google не показывает историю ручных санкций в новом Search Console

Google не показывает историю ручных санкций в новом Search Console

Западные специалисты заметили, что Google не показывает историю ручных санкций в новом Search Console. Между тем эта информация доступна в старой версии сервиса
preview Директ добавил в нативный блок для мобильного приложения разные форматы рекламы

Директ добавил в нативный блок для мобильного приложения разные форматы рекламы

Команда Яндекс.Директа сообщила о реализации возможности показа в нативном блоке для мобильного приложения медийных объявлений фиксированного размера, смарт-баннеров и...
preview The North Face подвергся критике за попытку манипуляции результатами поиска Google

The North Face подвергся критике за попытку манипуляции результатами поиска Google

Ведущий аутдор-бренд The North Face, специализирующийся на производстве спортивной одежды и туристического инвентаря, подвергся критике со стороны SEO-сообщества за попытку...
preview Google обновил инструмент для проверки расширенных результатов

Google обновил инструмент для проверки расширенных результатов

Команда Google Webmasters сообщила в Twitter об обновлении инструмента для проверки расширенных результатов (Rich Results Test
preview Google напомнил, для каких типов контента можно использовать Indexing API

Google напомнил, для каких типов контента можно использовать Indexing API

На днях сотрудник Google Джон Мюллер напомнил в Twitter, что Indexing API, запущенный в 2018 году, имеет ограниченную область применения
preview Google тестирует блоки локальной выдачи в формате карусели

Google тестирует блоки локальной выдачи в формате карусели

Западные специалисты заметили, что Google тестирует блоки локальной выдачи, оформленные в виде карусели