ФСБ хочет получить доступ ко всем данным клиентов Aviasales. Пока не получилось — но спецслужба не сдается Чем это может грозить пользователям?
В ноябре 2022 года группировка белорусских хакеров «Киберпартизаны» заявила о взломе российского государственного предприятия «Главный радиочастотный центр» (ГРЧЦ) — оно контролируется Роскомнадзором и выполняет «контрольно-надзорные и регуляторные функции». Хакеры получили доступ к документам и рабочей почте сотрудников организации и поделились этими данными с независимыми СМИ. «Медуза» обнаружила в утечке переписку Роскомнадзора и ФСБ об Aviasales — крупнейшем российском поисковике авиабилетов. Спецслужба просила регулятора признать компанию «организатором распространения информации» — это позволило бы ФСБ получить доступ к данным клиентов сервиса. Новый статус Aviasales все еще не присвоен — но положительные решения по результатам похожих запросов ФСБ в отношении других компаний Роскомнадзор уже принимал. Правда, в случае Aviasales самая чувствительная информация о перелетах хранится на стороне авиакомпаний (особенно если человек пользуется поисковиком билетов, не регистрируясь на сайте).
«Медуза» благодарит белорусских «Киберпартизан» за предоставленный доступ к утечке Роскомнадзора, а некоммерческий проект Distributed Denial of Secrets — за индексацию сотен гигабайтов данных и организацию удобной работы с утечкой.
Летом 2022 года ФСБ решила включить Aviasales в список «организаторов распространения информации»
Начальник организационно-аналитического управления научно-технической службы ФСБ Дмитрий Силантьев 14 июня 2022 года обратился к заместителю руководителя Роскомнадзора (РКН) Вадиму Субботину. Он попросил направить владельцам десяти сайтов официальные требования, чтобы те зарегистрировались как «организаторы распространения информации» (ОРИ).
Список ФСБ начинался с сайта aviasales.ru, дальше шли сайты ингушских информационных ресурсов и ингушского благотворительного фонда «Тешам». Сотрудники «Главного радиочастотного центра» во внутренней системе управления проектами так и назвали задачу: «Обращение по авиасейлс и ингушам».
В случае признания Aviasales «организатором распространения информации» спецслужбы получат доступ к данным клиентов компании. Правда, чувствительные данные сервис, судя по всему, не хранит
«Организаторы распространения информации в сети „Интернет“» (такова официальная формулировка) — это особая категория российских и иностранных компаний. Они обязаны хранить в России данные и метаданные электронных сообщений своих пользователей. А еще — передавать их российским спецслужбам вместе с ключами для дешифровки зашифрованных сообщений. Более того, «организатор распространения информации» должен установить у себя специальное оборудование для передачи данных ФСБ. При этом ему запрещается разглашать какую-либо информацию о взаимодействии со спецслужбами.
Если «организатор распространения информации» откажется сотрудничать со спецслужбами, его сайт или приложение могут заблокировать в России. Именно по этой причине в 2017-м Роскомнадзор приступил к блокировке мобильной рации Zello, а в 2018-2020 годах пытался (безуспешно) заблокировать Telegram.
Если Aviasales станет «организатором распроcтранения информации», компания должна будет собирать и передавать ФСБ информацию не только о своих клиентах в России, но и за ее пределами, если они хоть как-то были связаны с РФ:
- когда-то регистрировались на Aviasales в России (с российских IP-адресов);
- зачем-то заходят в свой профиль из-под российского VPN;
- указали в профиле данные российского паспорта или загранпаспорта.
То есть, к примеру, ФСБ может попытаться отследить авиаперелеты россиян, уехавших из страны, если они продолжают находить билеты через Aviasales.
Впрочем, мы не знаем точно, к каким именно данным хотели получить доступ в спецслужбе. Искать авиабилеты на Aviasales можно без создания личного профиля: тогда компания будет знать только предполагаемый пункт назначения, день полета, класс обслуживания, число пассажиров, возраст детей, а также IP-адрес и другие обезличенные идентификаторы пользователя. Сам билет ему продадут на сайте авиакомпании. Поэтому Aviasales не получит сведений об имени пользователи или, к примеру, номер его кредитной карты — только стоимость покупки и обезличенный идентификатор транзакции.
В то же время пользователь Aviasales может завести себе личный профиль и сохранить там паспортные данные. Тогда компания будет знать, какие покупки он совершил. Кроме того, Aviasales запустил платный сервис «Еще». Его клиенты могут получить кэшбэк за покупки у партнеров компании и общаться с тревел-консультантами. Теоретически ФСБ может захотеть получить доступ и к переписке с консультантами, и к данным о покупках у партнеров Aviasales.
Формально Aviasales не может быть «организатором распространения информации». Это (непублично) признавали даже в Роскомнадзоре
16 августа замглавы Роскомнадзора Субботин ответил начальнику организационно-аналитического управления научно-технической службы (НТС) ФСБ Силантьеву, что на сайте aviasales.ru не выявлен функционал «организатора распространения информации» (ОРИ) — то есть прием, передача, доставка и обработка электронных сообщений интернет-пользователей. В переписке сотрудников РКН можно найти объяснение этой позиции: «[В]ыявлена форма обратной связи, однако исключительно она не может быть признана функционалом ОРИ, так как обмен электронными сообщениями происходит между администрацией ресурса и пользователями». Кроме того, Субботин отметил, что владелец сервиса и регистратор доменного имени aviasales.ru — это гонконгская компания Go Travel Un Limited, а не российское юрлицо — ООО «Авиасейлс Медиа».
Поэтому Роскомнадзор спросил у спецслужбы о «целесообразности включения в реестр ОРИ» владельца aviasales.ru. 13 октября ФСБ ответила следующим образом:
В соответствии с кодом ОКВЭД ООО «Авиасейлс Медиа» осуществляет деятельность по розничной торговле по почте или по информационно-коммуникационной сети «Интернет». Считаем целесообразным включение ООО «Авиасейлс Медиа» в реестр ОРИ.
Действительно, по данным ЕГРЮЛ, соответствующий код ОКВЭД (47.91) записан у ООО «Авиасейлс Медиа» в качестве одного из дополнительных видов деятельности. И тем не менее непонятно, каким образом интернет-продавец приравнивается к мессенджерам, блог-платформам или даже информационным сайтам с публичными комментариями пользователей.
Роскомнадзор все же собирался добиться, чтобы Aviasales зарегистрировались как «организатор распространения информации»
Настойчивость ФСБ привела к тому, что 20 октября Полина Валентинова — сотрудница «Главного радиочастотного центра», ответственная за задачу «Обращение по авиасейлс и ингушам», — предложила коллегам согласиться с доводами спецслужбы и потребовать от ООО «Авиасейлс Медиа» зарегистрироваться в качестве «организатора распространения информации»
Ввиду позиции НТС ФСБ о необходимости регистрации ООО «Авиасейлс Медиа» (сервис: aviasales.ru) в Реестре ОРИ предлагаем направить требование.
При этом в Роскомнадзоре предупредили, что Aviasales может не исполнить это требование, а блокировка ресурса «приведет к общественному резонансу и массовым публикациям в СМИ».
Последние письма в утекшей переписке сотрудников РКН датированы 24 октября 2022 года. В тот день сотрудница управления контроля и надзора в сфере электронных коммуникаций РКН Анастасия Лебедева написала: «Взаимодействуем с ФСБ, они обещали вернуться сегодня с информацией во второй половине дня, поэтому пока ждем (сервис: aviasales.ru)».
Aviasales пока не включили в реестр ОРИ. Но это еще может произойти
В реестре «организаторов распространения информации» пока нет самого популярного российского поисковика авиабилетов. Зато там есть АО «Киви Банк», владеющее сервисом qiwi.com.
Из утекшей переписки следует, что РКН, как и в случае в Aviasales, в октябре 2022 года отвечал ФСБ, что в электронной платежной системе Qiwi нет «функционала ОРИ»:
Вместе с тем на ресурсе qiwi.com выявлена форма обратной связи и чат, предназначенный для связи с администратором ресурса. Однако данный функционал не может быть признан функционалом ОРИ, поскольку обмен электронными сообщениями не происходит между пользователями сети «Интернет».
Это не помешало РКН направить требование к АО «Киви Банк», которое компания исполнила — 13 февраля 2023 года ее включили в реестр «организаторов распространения информации».
Роскомнадзор искал альтернативные пути давления на Aviasales
В октябре 2022 года Роскомнадзор проверял, можно ли признать иностранное юридическое лицо Aviasales «интернет-гигантом», который должен подчиняться российскому закону «о приземлении интернет-ресурсов». По этому закону иностранные ресурсы, которыми ежедневно пользуются более полумиллиона россиян, должны наладить взаимодействие с Роскомнадзором под угрозой различных ограничений — вплоть до полной блокировки в России.
Предварительный анализ в РКН провели до того, как НТС ФСБ заявила о целесообразности признания Aviasales «организатором распространения информации». Ведомство пришло к выводу, что Go Travel Un Limited может быть включена в перечень иностранных лиц в качестве владельца поисковика авиабилетов Aviasales.
Одновременно 6 октября начальник управления контроля и надзора в сфере электронных коммуникаций Роскомнадзора Евгений Зайцев просил подчиненных поискать в интернете информацию о том, что Aviasales, возможно, «спонсируют и поддерживают ВСУ и т. д.». В тот же день он получил ответ:
посмотрели в русско- и англоязычном сегментах сети — информации о поддержке Aviasales Украины и ее вооруженных сил не найдено.
Компания Aviasales не ответила на запрос «Медузы».
Денис Дмитриев