Под угрозой жители множества стран — от Армении и Грузии до Израиля и Финляндии
Примерно год назад рядовые сотрудники «Яндекс Go» стали интересоваться у руководства, где конкретно хранятся данные о поездках такси за пределами России. Несмотря на войну, сервис (как правило, под названиями Yango и Yandex Go) до сих пор работает более чем в двадцати странах мира, включая Израиль, Норвегию, Финляндию, Беларусь, Казахстан, Грузию и Армению.
Переписка сотрудников с руководством (есть в распоряжении «Медузы») началась после появления новостей о законе, который даст ФСБ круглосуточный доступ к базам данных сервисов такси, внесенных в реестр «Организаторов распространения информации» (раньше такие данные предоставлялись только по запросу). Из всех российских сервисов такси в этот реестр пока внесен только «Яндекс Go».
То, что ФСБ сможет получить доступ к данным, беспокоило клиентов, которые пользуются «Яндекс Go» за границей, — и они пытались прояснить ситуацию у службы поддержки компании, рассказал «Медузе» источник в «Яндексе». Сотрудники в свою очередь писали менеджменту: «Как мы защищаем [клиентские] данные?» Представитель руководства отвечал, что данные Yandex Go и Yango хранятся в России, — и просил «в разговорах с клиентами избегать упоминания информации о нынешнем местоположении дата-центров».
«Базы данных всего Yango… расположены в России. Нет никакого ни физического, ни логического разделения [на международную и российскую части]», — говорится в переписке.
Круглосуточный доступ к этой информации ФСБ получит с 1 сентября — премьер-министр Михаил Мишустин уже подписал соответствующее постановление.
После публикации этого текста в «Яндексе» заявили «Медузе», что «большинство современных высоконагруженных интернет-сервисов устроены таким образом, что множество копий данных в зашифрованном виде хранятся в разных дата-центрах»: «Крупнейшие интернет-сервисы не осуществляет физическое разделение хранения данных по странам, где функционирует сервис. При этом запрос на доступ к данным реализуется исключительно по географическому признаку — по процедурам, прописанным в локальных законах». Вместе с тем в «Яндексе» заверили, что «данные о поездках могут получить исключительно правоохранительные органы той страны, где поездка была совершена, по процедурам, прописанным в локальных законах». После 1 сентября «эта логика не изменится», пообещали в компании.
Все данные правда хранятся в России? А почему?
Два сотрудника «Яндекса» на условиях анонимности подтвердили: данные сервиса такси сейчас хранятся только в российских дата-центрах. Всего их три — в Московской, Рязанской, Владимирской областях. Еще один центр «Яндекс» достраивает в Калуге.
При этом до начала войны часть данных хранилась в дата-центре компании в городе Мянтсяля в Финляндии (где сервис такси работает под брендом Yango). Это следует из письма, отправленного юристами компании в офис финского омбудсмена по кибербезопасности в июне 2019-го (есть в распоряжении «Медузы»). В самой компании в марте 2022-го говорили: «Команда Yandex Go никогда не отрицала, что алгоритмы сервиса могут использовать российские серверы наряду с финским дата-центром».
Информация сервиса такси дублировалась во всех дата-центрах «Яндекса» без разделения на поездки по России и за границей, пояснили два источника «Медузы» в компании. Бывший сотрудник «Яндекса» добавил, что подобные дубликаты нужны, чтобы поддерживать бесперебойную работу сервиса: «Допустим, у вас в одном центре идут работы, другой отваливается из-за аварии, [но] третий работает как нужно».
Несколько лет назад, когда сервис «Яндекса» появился в Европе (и должен был соблюдать европейские протоколы GDPR), в компании обсуждали возможность выделения и переноса всех «данных по международке» в зарубежные дата-центры — в частности, в финский центр в Мянтсяля, рассказал источник «Медузы», близкий к руководству «Яндекса». Но в компании «быстро поняли, что это долго, дорого и муторно».
После начала войны к этой идее уже не возвращались, объяснил собеседник в компании. Сейчас данные сервиса такси в финском дата-центре не хранятся, подчеркнули три источника «Медузы» в «Яндексе». «Мы же не можем допустить, чтобы в НАТО или любой другой недружественной стране узнали, как чиновники из администрации президента по стрип-клубам ездят», — иронизирует близкий к руководству компании источник «Медузы» в «Яндексе».
Позже, когда руководство «Яндекса» попало под санкции, центр в Мянтсяля отключили от электричества, а местные активы, в частности акции финского подразделения Yandex Oy, заморозили (сейчас компания сменила название на Global DC и пытается вернуть активы через окружной суд Хельсинки).
Тем не менее Yango продолжает работать на территории Финляндии. Этот сервис напрямую связан с общей инфраструктурой «Яндекса» благодаря единой системе авторизации «Яндекс ID». Именно она позволяет пользователям без проблем заказывать такси вне зависимости от страны. «Все сделано централизованно, управляется в одном месте, ты приехал за границу и можешь пользоваться своим приложением заказа такси хоть в Алматы, хоть в Тель-Авиве. Так написан код, так работает сервис», — объясняет сотрудник компании.
Выделить все международные поездки в таких условиях — «большой геморрой, для которого придется переделывать всю архитектуру сервиса», объясняет источник «Медузы», близкий к руководству «Яндекса».
Заочно с ним согласился и бывший сотрудник компании: «Запуск в другом дата-центре — сложная задача, которая требует значительных финансовых и технических затрат, и которую нельзя быстро решить, купив, допустим, хранилище на условном Amazon. То, что вы можете заказать как обычный покупатель на Amazon, скорее всего, не справится с нагрузкой».
Впрочем, бывший директор по технологиям «Яндекса» Григорий Бакунов оговаривается, что перенести данные все-таки можно, но для этого нужна «воля руководства»:
Каждая инсталляция приложения привязана к конкретному месту, вы можете с точностью до города все разделять и гранулировать [выделять], то есть можно перенести данные по Стамбулу, например, или по Тбилиси. Но проблема в том, что у спецслужб все равно с сентября будет доступ, грубо говоря, к общим данным, которые приходят в «Яндекс». Данные по международным поездкам они получить могут.
И пользователи сами на это согласились?
То, что сервис «Яндекса» хранит данные в России, действительно видно и из документов компании. Англоязычные регламенты «Политики конфиденциальности», размещенные на сайтах «Яндекса» и Yango, практически идентичны. И один из пунктов в них явно разрешает хранение и обработку данных в России.
При этом в «Политике конфиденциальности» до сих пор утверждается, что персональные данные пользователей хранятся не только в России, но и в Европейской экономической зоне — по всей видимости, речь идет о дата-центре в Финляндии (как мы уже рассказали, данных сервиса такси там уже нет).
С другой стороны, в этих же текстах компания обещает, что обрабатывать персональные данные пользователей «Яндекса» будут компании из трех стран:
- Финляндии (для пользователей из ЕЭЗ и Швейцарии);
- Израиля (для местных пользователей);
- России (для всех остальных).
Однако 22 февраля 2022 года — через месяц после внесения сервиса такси в реестр «Организаторов распространения информации» и за два дня до начала войны — «Яндекс» обновил свою политику конфиденциальности. Одно из изменений — появление оговорки о том, что в Финляндии больше не обрабатываются данные пользователей Yango, Yandex.Taxi и Deli (бренд доставки «Яндекса»).
Ранее между финским подразделением компании, Yandex Oy, и российским ООО «Яндекс» был заключен договор, оговаривающий условия передачи персональных данных пользователей из Европы в Россию. Один из пунктов этого документа предусматривал право финской компании приостановить передачу данных и расторгнуть договор «в случае изменения такого [российского] законодательства, которое с большой долей вероятности окажет существенное неблагоприятное воздействие на гарантии [конфиденциальности]».
Предполагается, что эти документы изучили все пользователи сервиса такси — под каким бы брендом он ни работал в конкретной стране. Например, впервые запустив Yango, пользователь должен ввести свой номер телефона и поставить одну галочку, подтвердив, что он прочитал пользовательское соглашение, лицензионное соглашение и политику конфиденциальности.
В Yango некоторые пользователи ставят эту галочку, не читая документы. Мы знаем это не только из своего опыта заполнения аналогичных форм. Дело в том, что две из трех гиперссылок на англоязычные документы в приложении просто не открываются. Вместо пользовательского соглашения и политики конфиденциальности, которые на самом деле можно найти на сайте yango.com, в обоих случаях выдается сообщение «Ошибка 404. Нет такой страницы» на домене rostaxi.org.
Более того, преамбула к лицензионному соглашению Yango запрещает использовать мобильное приложение, пока пользователь «полностью и безоговорочно» не принял условия, выдвинутые во всех трех документах. При этом вместо упомянутой там «Политики конфиденциальности» ссылка в лицензионном соглашении ведет на совсем другой документ — «Уведомление о конфиденциальности».
Как ФСБ будет получать данные о поездках?
По мнению Григория Бакунова, российская спецслужба может работать с данными «Яндекса» двумя способами. В первом случае сотрудники получат доступ к копии всего трафика сервиса, во втором — лишь к специальному каналу связи, куда будут выгружаться только интересующие ФСБ поездки пользователей.
По оценке Бакунова, второй вариант проще для ФСБ. Он объясняет:
Представьте, что у вас есть две возможности. [Первый] — самостоятельно руками исследовать необработанную кучу данных. И второй — при котором к вам, образно говоря, в почту приходят сообщения о каждой поездке по заданным параметрам типа «Пользователь Х с водителем Y проехал из точки A в точку B».
Дальше все в руках ФСБ — насколько им вообще захочется самостоятельно в общей куче разобраться. Если у них есть для этого специальные люди, то могут и почитать [весь массив поездок].
Во втором случае, уверен специалист, особый риск возникает для россиян, которые переехали в страны бывшего СССР после начала войны.
«В массиве есть данные по такси в Кыргызстане, Казахстане, Армении, Грузии и прочих точках, куда россияне уезжали после начала войны. Это угроза, я бы сказал, более значимая, чем доступ к данным по Финляндии, Норвегии и Алжиру», — добавил Бакунов.
С ним согласился и один из сотрудников «Яндекса», пообщавшийся с «Медузой». Финны и норвежцы, по его мнению, «могут спать спокойно, а на месте наших граждан я бы волновался».
Вероятно, эти опасения не лишены оснований. Например, Грузия часто отказывает во въезде оппозиционно настроенным россиянам, а власти Кыргызстана депортировали из страны антивоенного активиста Алексея Рожкова и задержали участника общественного движения «Левый блок» Льва Скорякина. В России оба были объявлены в федеральный розыск.
«Мы не знаем, есть ли у спецслужб достаточный объем мощностей, которые они готовы положить на это дело, сколько у них есть вычислительных ресурсов, „железа“, высококвалифицированных разработчиков [чтобы обработать весь массив поездок по России и за ее пределами]. Это большая морока, но сделать это можно», — подтвердил бывший сотрудник «Яндекса».
Подождите, а к каким данным будет доступ у ФСБ?
В теории — ко всей информации, которую собирает сервис такси. В уведомлении о конфиденциальности Yango приводится подробный перечень таких данных. Это и автоматически собираемая техническая информация. Например:
- IP-адрес;
- идентификатор устройства;
- его тип и модель;
- используемая операционная система;
- сведения о браузере или мобильном приложении.
И сведения, которые компании предоставляет сам человек. Такие как:
- имя;
- телефонный номер;
- электронный адрес;
- банковская информация;
- комментарии пользователя.
- И главное — адреса поездок.
А «Яндекс» точно выдаст все эти данные?
В октябре 2020-го, за три года до внесения сервиса такси в реестр «Организаторов распространения информации», «Яндекс» впервые раскрыл статистику по выдаче данных властям — на тот момент компания выдавала их только по запросу. За первые полгода 2019-го «Яндекс» получил больше 15 тысяч запросов и удовлетворил 84% из них. Заметная доля запросов касалась пользователей сервисов «Яндекс.Почта», «Яндекс.Еда» и «Яндекс.Такси».
В 2018 году информация, предоставленная «Яндексом» по запросу полиции, помогла раскрыть первое убийство, заказанное в даркнете. Годом позже данные о поездках, выданные правоохранительным органам, позволили сфабриковать уголовное дело против бывшего журналиста «Медузы» Ивана Голунова, которому полицейские подбросили наркотики. О том, что сотрудники полиции следили за журналистом по поездкам такси, стало известно из показаний одного из фигурантов дела, бывшего начальника отдела наркоконтроля УВД по ЗАО Москвы Игоря Ляховца.
По словам Ляховца, в 2019 году он «сделал запрос в ООО „Яндекс Такси“ о получении информации по поездкам Голунова И. В» и установил адрес проживания журналиста. А по информации, «предоставленной сотрудниками центра оперативно-розыскной информации УВД по ЗАО Москвы», им были получены «сведения о том, что Голунов И. В. часто выезжает за пределы Российской Федерации, в частности в страны ближнего зарубежья: Чехия и Латвия». В массиве предоставленных Ляховцу «Яндексом» данных было около ста адресов по заказам такси, в том числе написанный латиницей адрес рижского офиса «Медузы».
При этом, по словам Голунова, Ляховец отправил запрос компании в свободной форме через электронную почту на mail.ru. Глава пресс-службы «Яндекс.Такси» Владимир Исаев на это ответил, что запрос Ляховца «был сделан по всем правилам».
Этот случай не единичный. То, что в базах данных сервисов «Яндекса» хранятся как российские, так и зарубежные данные, видно и по утечкеданных «Яндекс.Еды». В массиве есть адреса доставки в Ереване, Минске и Алматы, а также номера телефонов с международными кодами владельцев аккаунтов с иностранными именами и фамилиями.
Разве GDPR не должна защищать хотя бы иностранцев?
GDPR действительно позволяет пользователям в любой момент отозвать свое согласие на обработку персональных данных. Более того, пользователь может воспользоваться своим «правом на забвение» — потребовать удалить или запретить использовать свои персональные данные.
При этом в некоторых случаях GDPR может защищать права даже жителей неевропейских стран. Например, если компания или ее подразделение, работающее с персональными данными этих лиц, зарегистрированы в Евросоюзе.
«Яндекс» неоднократно утверждал, что в Европе компания работает в строгом соответствии с нормами Евросоюза и GDPR. Такие заявлениякомпания делала и летом 2018-го, когда Национальный центр кибербезопасности при Министерстве обороны Литвы заявил, что приложение «Яндекса» передает данные в Россию, — и весной 2022 года, когда Латвия запретила работу сервиса такси на территории страны.
Сейчас права пользователей, гарантированные GDPR, упоминаются в уведомлениях о конфиденциальности приложений Yango и Yandex Go. И фактически до сих пор предоставляются не только жителям европейских, но и перечисленных ниже стран.
В российской «Политике конфиденциальности» такие права пользователей тоже упоминаются. Но действуют они только в том случае, «если это предусмотрено применимым законодательством». Возможно, такая оговорка нужна из-за экстерриториальности GDPR: регламент защищает права резидентов и граждан Евросоюза вне зависимости от того, где они находятся. То есть российские компании формально тоже обязаны предоставлять европейцам права, гарантированные GDPR.
То есть можно попросить удалить данные — и все будет хорошо?
В теории это возможно (по крайней мере для иностранных пользователей). Для соблюдения GDPR «Яндекс» уже проработал вопрос удаления персональных данных пользователей сервиса такси. Это видно из утечки исходных кодов компании, ставшей публичной в начале 2023 года. Неанонимизированные данные пользователей удалялись с помощью takeout — внутреннего сервиса «Яндекса». В одном из документов компании утверждалось, что она готова была удалить персональные данные, «если нет необходимости хранить [их] вечно». В другом говорилось, что «Яндекс» не удаляет некоторые данные, связанные с платежами. Например, отказать в удалении данных должны были пользователю с непогашенным долгом и человеку, уличенному в мошенничестве.
В том же документе сотрудники «Яндекса» выделили в отдельную категорию данные, которые они могли не удалять (то есть все оставалось на усмотрение компании). Там упоминались «некоторые технические данные, которые не являются персональными», а также некие «исторические данные»: они тоже хранились в базе данных «Яндекс.Такси», но не были видны пользователю. Что это конкретно — «Медузе» неизвестно.
В уведомлениях о конфиденциальности приложений Yango и Yandex Go также отдельно оговаривается, что компания в любом случае не будет удалять данные, «которые необходимо хранить в соответствии с законом или для защиты наших интересов, в частности, в контексте судебных разбирательств». При этом в соответствии с российским «законом Яровой» ООО «Яндекс.Такси», как организатор распространения информации, обязан хранить данные пользователей в течение полугода. Таким образом, остается неизвестным, каким образом поступит компания, если ей поступит запрос на удаление данных от гражданина Евросоюза, пользовавшегося услугами сервиса такси в России: удалит все данные сразу или только через полгода.
Для удаления своих персональных данных или сразу всей учетной записипользователям Yango и Yandex Go предлагают воспользоваться «Яндекс ID» — он управляет единым аккаунтом пользователя во всех сервисах «Яндекса». Однако непонятно, насколько эффективным будет удаление в условиях, когда у ФСБ будет прямой круглосуточный доступ к базам данных и появится возможность делать резервные копии до удаления информации.
«Я бы сказал так — если вы хотите попробовать скрыть связь между старым аккаунтом в „Яндексе“ и новыми заказами такси в вашей нынешней стране проживания, то нужно разлогиниться из старого аккаунта, удалить приложение, поставить его заново — в идеале на новое устройство — и залогиниться с иностранной сим-карты, привязав к аккаунту иностранную банковскую карту», — говорит собеседник «Медузы», ранее работавший в «Яндексе».
Вопрос безопасности данных сервиса такси «вызывает беспокойство» и требует «детальной оценки», заявила в начале августа авторам этого текста омбудсмен Финляндии по кибербезопасности Ану Талус. Она добавила, что круглосуточный мониторинг спецслужб — «одна из причин», по которой передача данных в Россию «должна быть прекращена» после «подробного изучения вопроса» властями. О законе, который предоставляет ФСБ круглосуточный доступ к данным, Талус узнала от авторов текста. Тем не менее утром 8 августа финские власти выпустили экстренное распоряжение об остановке передачи информации в Россию (как оно будет реализовано — неизвестно).
Впрочем, возможно, что такая позиция Финляндии «Яндекс» уже не беспокоит. «Сейчас в компании строят большие планы по развитию Yango за рубежом. Европа их больше не волнует — они собираются увеличивать свое присутствие в Африке и Латинской Америке», — рассказал «Медузе» сотрудник «Яндекса».
Источник meduza.io