Перейти к материалам
Офис компании Aviasales в Санкт-Петербурге
разбор

ФСБ хочет получить доступ ко всем данным клиентов Aviasales. Пока не получилось — но спецслужба не сдается Чем это может грозить пользователям?

Источник: Meduza
Офис компании Aviasales в Санкт-Петербурге
Офис компании Aviasales в Санкт-Петербурге
Евгений Трофимчук

В ноябре 2022 года группировка белорусских хакеров «Киберпартизаны» заявила о взломе российского государственного предприятия «Главный радиочастотный центр» (ГРЧЦ) — оно контролируется Роскомнадзором и выполняет «контрольно-надзорные и регуляторные функции». Хакеры получили доступ к документам и рабочей почте сотрудников организации и поделились этими данными с независимыми СМИ. «Медуза» обнаружила в утечке переписку Роскомнадзора и ФСБ об Aviasales — крупнейшем российском поисковике авиабилетов. Спецслужба просила регулятора признать компанию «организатором распространения информации» — это позволило бы ФСБ получить доступ к данным клиентов сервиса. Новый статус Aviasales все еще не присвоен — но положительные решения по результатам похожих запросов ФСБ в отношении других компаний Роскомнадзор уже принимал. Правда, в случае Aviasales самая чувствительная информация о перелетах хранится на стороне авиакомпаний (особенно если человек пользуется поисковиком билетов, не регистрируясь на сайте).

«Медуза» благодарит белорусских «Киберпартизан» за предоставленный доступ к утечке Роскомнадзора, а некоммерческий проект Distributed Denial of Secrets — за индексацию сотен гигабайтов данных и организацию удобной работы с утечкой.

Летом 2022 года ФСБ решила включить Aviasales в список «организаторов распространения информации»

Начальник организационно-аналитического управления научно-технической службы ФСБ Дмитрий Силантьев 14 июня 2022 года обратился к заместителю руководителя Роскомнадзора (РКН) Вадиму Субботину. Он попросил направить владельцам десяти сайтов официальные требования, чтобы те зарегистрировались как «организаторы распространения информации» (ОРИ).

Список ФСБ начинался с сайта aviasales.ru, дальше шли сайты ингушских информационных ресурсов и ингушского благотворительного фонда «Тешам». Сотрудники «Главного радиочастотного центра» во внутренней системе управления проектами так и назвали задачу: «Обращение по авиасейлс и ингушам».

В случае признания Aviasales «организатором распространения информации» спецслужбы получат доступ к данным клиентов компании. Правда, чувствительные данные сервис, судя по всему, не хранит

«Организаторы распространения информации в сети „Интернет“» (такова официальная формулировка) — это особая категория российских и иностранных компаний. Они обязаны хранить в России данные и метаданные электронных сообщений своих пользователей. А еще — передавать их российским спецслужбам вместе с ключами для дешифровки зашифрованных сообщений. Более того, «организатор распространения информации» должен установить у себя специальное оборудование для передачи данных ФСБ. При этом ему запрещается разглашать какую-либо информацию о взаимодействии со спецслужбами.

Если «организатор распространения информации» откажется сотрудничать со спецслужбами, его сайт или приложение могут заблокировать в России. Именно по этой причине в 2017-м Роскомнадзор приступил к блокировке мобильной рации Zello, а в 2018-2020 годах пытался (безуспешно) заблокировать Telegram.

Если Aviasales станет «организатором распроcтранения информации», компания должна будет собирать и передавать ФСБ информацию не только о своих клиентах в России, но и за ее пределами, если они хоть как-то были связаны с РФ:

  • когда-то регистрировались на Aviasales в России (с российских IP-адресов);
  • зачем-то заходят в свой профиль из-под российского VPN;
  • указали в профиле данные российского паспорта или загранпаспорта.

То есть, к примеру, ФСБ может попытаться отследить авиаперелеты россиян, уехавших из страны, если они продолжают находить билеты через Aviasales.

Впрочем, мы не знаем точно, к каким именно данным хотели получить доступ в спецслужбе. Искать авиабилеты на Aviasales можно без создания личного профиля: тогда компания будет знать только предполагаемый пункт назначения, день полета, класс обслуживания, число пассажиров, возраст детей, а также IP-адрес и другие обезличенные идентификаторы пользователя. Сам билет ему продадут на сайте авиакомпании. Поэтому Aviasales не получит сведений об имени пользователи или, к примеру, номер его кредитной карты — только стоимость покупки и обезличенный идентификатор транзакции.

В то же время пользователь Aviasales может завести себе личный профиль и сохранить там паспортные данные. Тогда компания будет знать, какие покупки он совершил. Кроме того, Aviasales запустил платный сервис «Еще». Его клиенты могут получить кэшбэк за покупки у партнеров компании и общаться с тревел-консультантами. Теоретически ФСБ может захотеть получить доступ и к переписке с консультантами, и к данным о покупках у партнеров Aviasales.

Формально Aviasales не может быть «организатором распространения информации». Это (непублично) признавали даже в Роскомнадзоре

16 августа замглавы Роскомнадзора Субботин ответил начальнику организационно-аналитического управления научно-технической службы (НТС) ФСБ Силантьеву, что на сайте aviasales.ru не выявлен функционал «организатора распространения информации» (ОРИ) — то есть прием, передача, доставка и обработка электронных сообщений интернет-пользователей. В переписке сотрудников РКН можно найти объяснение этой позиции: «[В]ыявлена форма обратной связи, однако исключительно она не может быть признана функционалом ОРИ, так как обмен электронными сообщениями происходит между администрацией ресурса и пользователями». Кроме того, Субботин отметил, что владелец сервиса и регистратор доменного имени aviasales.ru — это гонконгская компания Go Travel Un Limited, а не российское юрлицо — ООО «Авиасейлс Медиа».

Поэтому Роскомнадзор спросил у спецслужбы о «целесообразности включения в реестр ОРИ» владельца aviasales.ru. 13 октября ФСБ ответила следующим образом:

В соответствии с кодом ОКВЭД ООО «Авиасейлс Медиа» осуществляет деятельность по розничной торговле по почте или по информационно-коммуникационной сети «Интернет». Считаем целесообразным включение ООО «Авиасейлс Медиа» в реестр ОРИ.

Действительно, по данным ЕГРЮЛ, соответствующий код ОКВЭД (47.91) записан у ООО «Авиасейлс Медиа» в качестве одного из дополнительных видов деятельности. И тем не менее непонятно, каким образом интернет-продавец приравнивается к мессенджерам, блог-платформам или даже информационным сайтам с публичными комментариями пользователей.

Роскомнадзор все же собирался добиться, чтобы Aviasales зарегистрировались как «организатор распространения информации»

Настойчивость ФСБ привела к тому, что 20 октября Полина Валентинова — сотрудница «Главного радиочастотного центра», ответственная за задачу «Обращение по авиасейлс и ингушам», — предложила коллегам согласиться с доводами спецслужбы и потребовать от ООО «Авиасейлс Медиа» зарегистрироваться в качестве «организатора распространения информации»

Ввиду позиции НТС ФСБ о необходимости регистрации ООО «Авиасейлс Медиа» (сервис: aviasales.ru) в Реестре ОРИ предлагаем направить требование.

При этом в Роскомнадзоре предупредили, что Aviasales может не исполнить это требование, а блокировка ресурса «приведет к общественному резонансу и массовым публикациям в СМИ».

Последние письма в утекшей переписке сотрудников РКН датированы 24 октября 2022 года. В тот день сотрудница управления контроля и надзора в сфере электронных коммуникаций РКН Анастасия Лебедева написала: «Взаимодействуем с ФСБ, они обещали вернуться сегодня с информацией во второй половине дня, поэтому пока ждем (сервис: aviasales.ru)».

Aviasales пока не включили в реестр ОРИ. Но это еще может произойти

В реестре «организаторов распространения информации» пока нет самого популярного российского поисковика авиабилетов. Зато там есть АО «Киви Банк», владеющее сервисом qiwi.com.

Из утекшей переписки следует, что РКН, как и в случае в Aviasales, в октябре 2022 года отвечал ФСБ, что в электронной платежной системе Qiwi нет «функционала ОРИ»:

Вместе с тем на ресурсе qiwi.com выявлена форма обратной связи и чат, предназначенный для связи с администратором ресурса. Однако данный функционал не может быть признан функционалом ОРИ, поскольку обмен электронными сообщениями не происходит между пользователями сети «Интернет».

Это не помешало РКН направить требование к АО «Киви Банк», которое компания исполнила — 13 февраля 2023 года ее включили в реестр «организаторов распространения информации».

Роскомнадзор искал альтернативные пути давления на Aviasales

В октябре 2022 года Роскомнадзор проверял, можно ли признать иностранное юридическое лицо Aviasales «интернет-гигантом», который должен подчиняться российскому закону «о приземлении интернет-ресурсов». По этому закону иностранные ресурсы, которыми ежедневно пользуются более полумиллиона россиян, должны наладить взаимодействие с Роскомнадзором под угрозой различных ограничений — вплоть до полной блокировки в России.

Предварительный анализ в РКН провели до того, как НТС ФСБ заявила о целесообразности признания Aviasales «организатором распространения информации». Ведомство пришло к выводу, что Go Travel Un Limited может быть включена в перечень иностранных лиц в качестве владельца поисковика авиабилетов Aviasales.


Одновременно 6 октября начальник управления контроля и надзора в сфере электронных коммуникаций Роскомнадзора Евгений Зайцев просил подчиненных поискать в интернете информацию о том, что Aviasales, возможно, «спонсируют и поддерживают ВСУ и т. д.». В тот же день он получил ответ:

посмотрели в русско- и англоязычном сегментах сети — информации о поддержке Aviasales Украины и ее вооруженных сил не найдено.

Компания Aviasales не ответила на запрос «Медузы».

Что еще стало известно из утечки данных РКН

ФГУП «ГРЧЦ» За этой нелепой аббревиатурой скрывается ведомство Роскомнадзора, которое пишет доносы на «иноагентов», прячет данные о здоровье Путина и заставляет «Яндекс» врать про войну

Что еще стало известно из утечки данных РКН

ФГУП «ГРЧЦ» За этой нелепой аббревиатурой скрывается ведомство Роскомнадзора, которое пишет доносы на «иноагентов», прячет данные о здоровье Путина и заставляет «Яндекс» врать про войну

Денис Дмитриев

«Медуза» — это вы! Уже три года мы работаем благодаря вам, и только для вас. Помогите нам прожить вместе с вами 2025 год!

Если вы находитесь не в России, оформите ежемесячный донат — а мы сделаем все, чтобы миллионы людей получали наши новости. Мы верим, что независимая информация помогает принимать правильные решения даже в самых сложных жизненных обстоятельствах. Берегите себя!