IP-адреси, листування та кредитки. Як соцмережі та месенджери зливають наші дані спецслужбам

Нещодавно навколо месенджера WhatsApp спалахнув новий скандал. З'ясувалося, що особисті дані його користувачів майже миттєво можуть потрапити до спецслужб. На запит ФБР вже протягом 15 хвилин компанія надає дані, які цікавлять слідство.

А як щодо наскрізного шифрування даних? Це означає, що нас усіх читають треті особи? Ні, але теоретично все можливо. Liga.Tech з'ясовувала, як Apple, Google, Facebook, Microsoft, Telegram, Viber та Signal захищають (і зливають) особисту інформацію своїх користувачів.

Apple

Офіційно ця компанія має досить суворі правила щодо конфіденційності користувачів. Так, 2016 року в Apple відмовилися надати доступ до iPhone терориста, який застрелив 14 людей у ​​Каліфорнійському місті Сан-Бернардіно. Як пояснив тоді глава компанії Тім Кук, ФБР не просто вимагала допомоги у розслідуванні конкретного теракту. Спецслужби стали наполягати на створенні спеціального інструменту, який дозволить їм отримувати доступ до телефонів користувачів iOS. Наприклад, вводити різні комбінації паролів, доки вони не підберуть правильний. Проте компанія не захотіла наражати своїх користувачів на такий ризик.

Кілька років тому Apple навіть планувала налаштувати наскрізне шифрування резервних даних у iCloud таким чином, щоб ключі від нього були тільки у самого користувача. До них не мали б доступу навіть у компанії. Проте вже на початку 2020 року стало відомо, що від цієї ідеї довелося відмовитися під тиском ФБР. Для спецслужб це означало б неможливість отримати особисту інформацію користувачів Apple навіть після рішення суду.

Проте компанія не цурається співпраці з ФБР, якщо йдеться про серйозні питання. Так, наприкінці минулого року Apple допомогла визначити особу протестувальника, який підпалював поліцейські машини. Правоохоронці отримали від компанії скриншоти з облікового запису підозрюваного в iCloud, які доводили його провину.

З 2013 року Apple викладає звіти про запити даних своїх користувачів з боку спецслужб США та інших країн у відкритий доступ. Донедавна ці документи з'являлися на сайті компанії двічі на рік, однак 2021-го цю інформацію з якоїсь причини поки що не оприлюднили. Лідери за кількістю запитів – спецслужби США. У середньому від них надходить 10 тисяч запитів на рік. І більшість з них компанія задовольняє. Україна теж є у списку, однак у цьому випадку цифри суттєво менші. Так, 2019 року від нашої влади було лише чотири такі запити, 2018 року – п'ять, минулого року – жодного.

Підписуйтесь на LIGA.Tech у Telegram: тільки важливе

Google

Google зберігає, мабуть, найпотужніші обсяги інформації про кожного з нас. Як їх використовувати – залишається на совісті компанії та в межах дії закону. Щороку компанія розкриває дані про облікові записи сотень тисяч користувачів, і ця цифра зростає з кожним роком. Наприклад, Google регулярно отримує запити щодо видачі персональних даних та кореспонденції користувачів Google у межах закону США "Про контроль діяльності іноземних розвідок". Від українських спецслужб минулого року компанія отримала 50 таких заявок, але задовольнила менше половини їхніх запитів.

У компанії стверджують, що готові захищати своїх користувачів, якщо ці претензії не обґрунтовані. Наприклад, з 2012 року Google окремо попереджає про спроби зламування спецслужб. Утім, це не заважає компанії намагатися співпрацювати з аж ніяк не демократичними урядами. 2018 року з'явилася інформація про таємний проєкт Google Dragonfly. Це пошукова система з вбудованою цензурою, яку хотіли запустити на території Китаю, де традиційний Google під забороною. Коли про це стало відомо, із протестами виступили як співробітники самої компанії, так і влада США. 

Skype

Skype – один зі старожилів ринку месенджерів, але має, мабуть, найгіршу репутацію. Так, 2013 року з'ясувалося, що користувачів з Китаю він автоматично переадресовує на особливу локальну версію програми: з перевіркою текстів, що вводяться, через фільтр "заборонених" слів і негласним відправленням таких логів до китайських каральних органів. Якщо месенджер зважився на співпрацю з диктатурою, що вже казати про спецслужби демократичніших країн?

До "чорного" списку китайської влади Skype потрапив лише 2017 року. Набагато пізніше, ніж Gmail, Facebook, Snapchat, Twitter, Telegram, які там заблокували, оскільки вони не погодилися на стеження за користувачами. Наразі всі вони недоступні у магазинах мобільних застосунків на території Китаю.

Утім, отриману за допомогою Skype інформацію свого часу вдалося використати навіть українським спецслужбам. У цьому конкретному випадку – на користь. У 2014 році з'ясувалося, що до СБУ потрапило листування сепаратистів з їхніми російськими кураторами через Skype. Трохи пізніше так само викрили співробітника "Укрпошти", який за допомогою цього месенджера передавав на окуповану територію секретну інформацію.

В останні роки Skype не потрапляв у подібні репутаційні скандали. 2018 року власник месенджера компанія Microsoft оголосила, що вони запустили систему наскрізного шифрування. Щоб її увімкнути, потрібно вибрати користувача зі списку контактів та натиснути "Почати особисту бесіду". Вважається, що такий чат буде доступним лише на пристроях цих двох осіб.

Facebook

Чутки про те, що Facebook передає дані ФБР, ходили з 2007 року. Компанії довелося офіційно визнати це після документів, опублікованих WikiLeaks. Якщо співпраці зі спецслужбами не уникнути, у компанії Meta, до якої належать Facebook та Instagram, вирішили зробити її умови максимально відкритими.

Ознайомитися з ними можуть усі охочі у відповідному розділі на сайті соцмережі. Відповідно до законодавства США, вони розкривають основні відомості про обліковий запис тільки на підставі дійсної судової повістки, виданої в межах офіційного кримінального розслідування. Серед цих даних – ім'я людини, терміни використання сервісу, номер кредитної картки, електронні та IP-адреси, за допомогою яких користувач нещодавно входив до системи. Доступ до особистого листування, фотографій та іншого контенту, який є в месенджері, можливий лише за наявності ордера на обшук.

Звертатися за інформацією до Facebook мають право також спецслужби інших країн. Компанія обіцяє розглядати їх у межах угоди про міжнародне правове сприяння.

В екстрених випадках, коли справа стосується здоров'я або життя дітей, запит можна подати через онлайн-форму. Зробити це дозволено лише правоохоронцям, таки запити розглядають негайно.

Як йдеться у звітах компанії, в середньому вони обробляють 140 тисяч таких повідомлень та задовольняють майже 90 відсотків із них.

Viber

Найпопулярніший в Україні месенджер також свого часу опинився під підозрою. Народний депутат Олександр Федченко звинуватив Viber у тому, що той нібито контролюється білоруськими чи ізраїльськими шпигунами. Політик стверджував, що компанія збирає інформацію щонайменше за 10 напрямками, але конкретних прикладів не навів.

У компанії відразу ж спростували звинувачення, сказавши, що над проєктом працюють незалежні розробники, які не мають стосунку до спецслужб та уряду якоїсь країни. Вони нагадали, що використовують криптографічні ключі для шифрування листування. За їхніми словами, це виключає витік інформації про користувача. Сервери Viber також не мають доступу до вмісту повідомлень через створення ключів кодування/декодування виключно на пристроях користувачів.

У документі, опублікованому організацією Property of the People, йдеться, що компанія не передає спецслужбам зміст листування, проте може надати номер телефону, IP-адресу на момент реєстрації та метадані.

Signal

За останніми даними, цим додатком користується лише 3,8 відсотка українців. Однак, поряд з Telegram, його вважають одним із найбільш захищених месенджерів у світі. Signal не належить до конкретної корпорації, його розробкою займається однойменний некомерційний фонд, який фінансується за допомогою пожертв. З цієї причини месенджер часто обирають політичні активісти та журналісти. 

У січні 2021 року популярність Signal зросла, оскільки його порекомендував у своєму Twitter-акаунті Ілон Маск.

На відміну від інших месенджерів, де функція наскрізного шифрування "end-to-end" використовується лише в секретних чатах, тут цю опцію увімкнено скрізь за замовчуванням. Це означає, що історія повідомлень зберігається лише на пристроях, з яких відбувалося листування.

Ще одна перевага Signal – відкритий вихідний код, перевірити надійність якого може будь-який експерт. Декларуючи наскрізне шифрування, деякі компанії усвідомлено залишають бекдор. Фактично це вразливість – лазівка, яка дозволяє третім особам отримати доступ до даних користувачів. У Signal вдатися до таких хитрощів неможливо, оскільки про це відразу стало б відомо всім.

Досі Signal не було помічено у співпраці зі спецслужбами чи урядами, проте час від часу в мережі з'являється інформація про витік інформації з месенджера. Розробники визнають, що такі випадки були, проте запевняють: зламати вдалося не саму програму, а пристрій, з якого велося листування. Сам месенджер на запит спецслужб може надати лише дату реєстрації та час, коли користувач востаннє був у мережі. І це єдина інформація, яку він має.

Telegram

Цьому мобільному застосунку вдається зберігати хорошу репутацію, попри низку скандалів. Так, кілька років тому з'ясувалося, що система шифрування "end-to-end", яку використовує Telegram, не така вже й бездоганна. Група експертів проаналізувала протокол MTProto, який месенджер використовує для наскрізного шифрування і знайшла низку істотних уразливостей. Згодом розробники Telegram оголосили, що виправили недоліки. Але ніхто з незалежних аналітиків цю інформацію наразі не підтвердив.

Другий скандал пов'язаний зі спробою заборонити Telegram у Росії. 2017 року в країні набув чинності закон, який зобов'язав операторів комунікаційних послуг зберігати ключі для розшифровування листування користувачів та надавати їх ФСБ на запит. Тоді ж засновник Telegram Павло Дуров відмовився виконувати цю вимогу. А з квітня 2018 року Роскомнагляд почав блокувати IP-адреси, що використовуються Telegram. У червні 2020 року конфлікт між російським урядом та Telegram несподівано завершився.

"Позитивно оцінюємо висловлену засновником Telegram готовність протидіяти тероризму та екстремізму", – мотивував своє рішення про розблокування месенджера Роскомнагляд.

Як свідчать документи Property of the People, Telegram надає лише IP-адресу та номер телефону користувачів, якщо щодо них проводиться розслідування з підтверджених випадків тероризму. Про ці випадки компанія обіцяла кожні пів року звітувати у спеціально створеному 2018 року каналі. Щоправда, за три роки там так і не з'явилося жодного повідомлення.

Проте невідомо, за яких умов Павло Дуров помирився з Роскомнаглядом. І про це не варто забувати, якщо сподіваєтеся знайти месенджер, якому можна довіряти на 100 відсотків.