Евгений Трофимчук
разбор

ФСБ хочет получить доступ ко всем данным клиентов Aviasales. Пока не получилось — но спецслужба не сдается Чем это может грозить пользователям?

Источник: Meduza

В ноябре 2022 года группировка белорусских хакеров «Киберпартизаны» заявила о взломе российского государственного предприятия «Главный радиочастотный центр» (ГРЧЦ) — оно контролируется Роскомнадзором и выполняет «контрольно-надзорные и регуляторные функции». Хакеры получили доступ к документам и рабочей почте сотрудников организации и поделились этими данными с независимыми СМИ. «Медуза» обнаружила в утечке переписку Роскомнадзора и ФСБ об Aviasales — крупнейшем российском поисковике авиабилетов. Спецслужба просила регулятора признать компанию «организатором распространения информации» — это позволило бы ФСБ получить доступ к данным клиентов сервиса. Новый статус Aviasales все еще не присвоен — но положительные решения по результатам похожих запросов ФСБ в отношении других компаний Роскомнадзор уже принимал. Правда, в случае Aviasales самая чувствительная информация о перелетах хранится на стороне авиакомпаний (особенно если человек пользуется поисковиком билетов, не регистрируясь на сайте).


«Медуза» благодарит белорусских «Киберпартизан» за предоставленный доступ к утечке Роскомнадзора, а некоммерческий проект Distributed Denial of Secrets — за индексацию сотен гигабайтов данных и организацию удобной работы с утечкой.

Летом 2022 года ФСБ решила включить Aviasales в список «организаторов распространения информации»

Начальник организационно-аналитического управления научно-технической службы ФСБ Дмитрий Силантьев 14 июня 2022 года обратился к заместителю руководителя Роскомнадзора (РКН) Вадиму Субботину. Он попросил направить владельцам десяти сайтов официальные требования, чтобы те зарегистрировались как «организаторы распространения информации» (ОРИ).

Список ФСБ начинался с сайта aviasales.ru, дальше шли сайты ингушских информационных ресурсов и ингушского благотворительного фонда «Тешам». Сотрудники «Главного радиочастотного центра» во внутренней системе управления проектами так и назвали задачу: «Обращение по авиасейлс и ингушам».

В случае признания Aviasales «организатором распространения информации» спецслужбы получат доступ к данным клиентов компании. Правда, чувствительные данные сервис, судя по всему, не хранит

«Организаторы распространения информации в сети „Интернет“» (такова официальная формулировка) — это особая категория российских и иностранных компаний. Они обязаны хранить в России данные и метаданные электронных сообщений своих пользователей. А еще — передавать их российским спецслужбам вместе с ключами для дешифровки зашифрованных сообщений. Более того, «организатор распространения информации» должен установить у себя специальное оборудование для передачи данных ФСБ. При этом ему запрещается разглашать какую-либо информацию о взаимодействии со спецслужбами.

Если «организатор распространения информации» откажется сотрудничать со спецслужбами, его сайт или приложение могут заблокировать в России. Именно по этой причине в 2017-м Роскомнадзор приступил к блокировке мобильной рации Zello, а в 2018-2020 годах пытался (безуспешно) заблокировать Telegram.

Если Aviasales станет «организатором распроcтранения информации», компания должна будет собирать и передавать ФСБ информацию не только о своих клиентах в России, но и за ее пределами, если они хоть как-то были связаны с РФ:

  • когда-то регистрировались на Aviasales в России (с российских IP-адресов);
  • зачем-то заходят в свой профиль из-под российского VPN;
  • указали в профиле данные российского паспорта или загранпаспорта.

То есть, к примеру, ФСБ может попытаться отследить авиаперелеты россиян, уехавших из страны, если они продолжают находить билеты через Aviasales.

Впрочем, мы не знаем точно, к каким именно данным хотели получить доступ в спецслужбе. Искать авиабилеты на Aviasales можно без создания личного профиля: тогда компания будет знать только предполагаемый пункт назначения, день полета, класс обслуживания, число пассажиров, возраст детей, а также IP-адрес и другие обезличенные идентификаторы пользователя. Сам билет ему продадут на сайте авиакомпании. Поэтому Aviasales не получит сведений об имени пользователи или, к примеру, номер его кредитной карты — только стоимость покупки и обезличенный идентификатор транзакции.

В то же время пользователь Aviasales может завести себе личный профиль и сохранить там паспортные данные. Тогда компания будет знать, какие покупки он совершил. Кроме того, Aviasales запустил платный сервис «Еще». Его клиенты могут получить кэшбэк за покупки у партнеров компании и общаться с тревел-консультантами. Теоретически ФСБ может захотеть получить доступ и к переписке с консультантами, и к данным о покупках у партнеров Aviasales.

Формально Aviasales не может быть «организатором распространения информации». Это (непублично) признавали даже в Роскомнадзоре

16 августа замглавы Роскомнадзора Субботин ответил начальнику организационно-аналитического управления научно-технической службы (НТС) ФСБ Силантьеву, что на сайте aviasales.ru не выявлен функционал «организатора распространения информации» (ОРИ) — то есть прием, передача, доставка и обработка электронных сообщений интернет-пользователей. В переписке сотрудников РКН можно найти объяснение этой позиции: «[В]ыявлена форма обратной связи, однако исключительно она не может быть признана функционалом ОРИ, так как обмен электронными сообщениями происходит между администрацией ресурса и пользователями». Кроме того, Субботин отметил, что владелец сервиса и регистратор доменного имени aviasales.ru — это гонконгская компания Go Travel Un Limited, а не российское юрлицо — ООО «Авиасейлс Медиа».

Поэтому Роскомнадзор спросил у спецслужбы о «целесообразности включения в реестр ОРИ» владельца aviasales.ru. 13 октября ФСБ ответила следующим образом:

В соответствии с кодом ОКВЭД ООО «Авиасейлс Медиа» осуществляет деятельность по розничной торговле по почте или по информационно-коммуникационной сети «Интернет». Считаем целесообразным включение ООО «Авиасейлс Медиа» в реестр ОРИ.

Действительно, по данным ЕГРЮЛ, соответствующий код ОКВЭД (47.91) записан у ООО «Авиасейлс Медиа» в качестве одного из дополнительных видов деятельности. И тем не менее непонятно, каким образом интернет-продавец приравнивается к мессенджерам, блог-платформам или даже информационным сайтам с публичными комментариями пользователей.

Роскомнадзор все же собирался добиться, чтобы Aviasales зарегистрировались как «организатор распространения информации»

Настойчивость ФСБ привела к тому, что 20 октября Полина Валентинова — сотрудница «Главного радиочастотного центра», ответственная за задачу «Обращение по авиасейлс и ингушам», — предложила коллегам согласиться с доводами спецслужбы и потребовать от ООО «Авиасейлс Медиа» зарегистрироваться в качестве «организатора распространения информации»

Ввиду позиции НТС ФСБ о необходимости регистрации ООО «Авиасейлс Медиа» (сервис: aviasales.ru) в Реестре ОРИ предлагаем направить требование.

При этом в Роскомнадзоре предупредили, что Aviasales может не исполнить это требование, а блокировка ресурса «приведет к общественному резонансу и массовым публикациям в СМИ».

Последние письма в утекшей переписке сотрудников РКН датированы 24 октября 2022 года. В тот день сотрудница управления контроля и надзора в сфере электронных коммуникаций РКН Анастасия Лебедева написала: «Взаимодействуем с ФСБ, они обещали вернуться сегодня с информацией во второй половине дня, поэтому пока ждем (сервис: aviasales.ru)».

Aviasales пока не включили в реестр ОРИ. Но это еще может произойти

В реестре «организаторов распространения информации» пока нет самого популярного российского поисковика авиабилетов. Зато там есть АО «Киви Банк», владеющее сервисом qiwi.com.

Из утекшей переписки следует, что РКН, как и в случае в Aviasales, в октябре 2022 года отвечал ФСБ, что в электронной платежной системе Qiwi нет «функционала ОРИ»:

Вместе с тем на ресурсе qiwi.com выявлена форма обратной связи и чат, предназначенный для связи с администратором ресурса. Однако данный функционал не может быть признан функционалом ОРИ, поскольку обмен электронными сообщениями не происходит между пользователями сети «Интернет».

Это не помешало РКН направить требование к АО «Киви Банк», которое компания исполнила — 13 февраля 2023 года ее включили в реестр «организаторов распространения информации».

Роскомнадзор искал альтернативные пути давления на Aviasales

В октябре 2022 года Роскомнадзор проверял, можно ли признать иностранное юридическое лицо Aviasales «интернет-гигантом», который должен подчиняться российскому закону «о приземлении интернет-ресурсов». По этому закону иностранные ресурсы, которыми ежедневно пользуются более полумиллиона россиян, должны наладить взаимодействие с Роскомнадзором под угрозой различных ограничений — вплоть до полной блокировки в России.

Предварительный анализ в РКН провели до того, как НТС ФСБ заявила о целесообразности признания Aviasales «организатором распространения информации». Ведомство пришло к выводу, что Go Travel Un Limited может быть включена в перечень иностранных лиц в качестве владельца поисковика авиабилетов Aviasales.


Одновременно 6 октября начальник управления контроля и надзора в сфере электронных коммуникаций Роскомнадзора Евгений Зайцев просил подчиненных поискать в интернете информацию о том, что Aviasales, возможно, «спонсируют и поддерживают ВСУ и т. д.». В тот же день он получил ответ:

посмотрели в русско- и англоязычном сегментах сети — информации о поддержке Aviasales Украины и ее вооруженных сил не найдено.

Компания Aviasales не ответила на запрос «Медузы».

Денис Дмитриев

Magic link? Это волшебная ссылка: она открывает лайт-версию материала. Ее можно отправить тому, у кого «Медуза» заблокирована, — и все откроется! Будьте осторожны: «Медуза» в РФ — «нежелательная» организация. Не посылайте наши статьи людям, которым вы не доверяете.