Для отдела безопасности Yahoo нынешняя ситуация выглядит так, словно компанию взломали.
Некий злоумышленник в середине 2015 года установил бэкдор, который сканировал почтовый трафик (в отчёте сказано о поиске конкретной "signature", что бы это не значило).
Так могла поступать иностранная разведка, которая хочет найти конкретную информацию. Но в данном случае иностранная разведка оказалась ни при чём. Как стало известно, высшее руководство корпорации Yahoo помогло агентам правительственных служб США установить специальный бэкдор для сканирования почтового трафика Yahoo Mail. Как выяснилось, это было сделано втайне от персонала и отдела безопасности Yahoo. Об операции знали только несколько её участников. Говорят, когда начальник отдела безопасности, известный специалист Алекс Стамос узнал об этом в июне 2015 года, он сразу подал заявление об увольнении. Искать новую работу Алексу пришлось недолго.
Yahoo получила судебное предписание предоставить доступ к своей почтовой системе из секретного Суда по негласному наблюдению в целях внешней разведки (FISC). По закону FISA (Акт о негласном наблюдении в целях внешней разведки), получатель такого судебного предписания не имеет права разглашать информацию о получении ордера.
В случае оспаривания решения оно рассматривается снова в секретном суде, и компания опять же не имеет права разглашать информацию о рассмотрении такого дела. В конце концов, никто из пользователей не должен получить прямого уведомления о том, что над его аккаунтом установлена слежка.
Некоторые компании, опасаясь получения секретных предписаний FISC, используют трюк, известный как «свидетельство канарейки» — они заранее размещают на сайте заявление о том, что до сих пор не получали судебных предписаний FISC. В случае получения такого ордера они просто убирают с сайта ставшее ложным заявление, не нарушая формально требование о неразглашении информации. Фонд электронных рубежей специально отслеживает свидетельства канарейки на разных сайтах, чтобы пользователи могли делать выводы о тайных действиях правительства США.
Сразу после появления сообщения о доступе правительственных спецслужб к почтовому трафику Yahoo практически все крупные компании выступили с официальными заявлениями о том, что у них не действует подобная система сканирования конфиденциальных сообщений пользователей. С такими заявлениями выступили Apple, Google, Twitter и Microsoft.
Компания Yahoo выпустила типичное «опровержение без отрицания». Алекс Стамос отказался комментировать ситуацию. Таким образом, Yahoo осталась в одиночестве. Марисса Майер подверглась критике коллег за то, что не сумела обеспечить меры безопасности и защитить пользователей.
Yahoo пытается оправдаться: «Статья в [Reuters] вводит в заблуждение. Мы узко интерпретировали каждый государственный запрос, чтобы минимизировать утечку данных, — заявила компания. — Сканирование писем, описанное в статье, не существует в нашей компании».
Что же происходило на самом деле?
За прошедшее время появилась новая информация о том, как могла быть организована система сканирования трафика на серверах Yahoo Mail. Естественно, компании Yahoo запрещено разглашать эти сведения, но в интервью двое государственных служащих и ещё одно лицо поделились информацией на условиях анонимности.
Они подтвердили, что Министерство юстиции США в прошлом году получило ордер от судьи FISC на получение разведданных в отношении иностранной террористической организации. Чтобы выполнить судебное требование, компания Yahoo модифицировала существующую систему сканирования входящего трафика, которая в штатной ситуации используется для фильтрации вредоносного программного обеспечения и спама.
После такой модификации система находила и сохраняла для ФБР копии всех сообщений, которые содержали указанную «цифровую подпись» ("digital signature"). В данный момент система уже не работает. Адвокат EFF Эндрю Крокер (Andrew Crocker) говорит, что власти скорее всего использовали параграф 702 Акта о негласном наблюдении в целях внешней разведки, который позволяет «массовый сбор информации с каналов связи для сбора данных об иностранном физическом лице».
Такой запрос принуждает компанию систематически сканировать весь трафик, а не содержимое конкретных почтовых ящиков. Как говорилось выше, несколько крупных ИТ-компаний однозначно заявили, что не сталкивались с такими запросами FISC. Сканировать трафик 500 миллионов пользователей частной компании, чтобы найти следы одного преступника — довольно необычная операция спецслужб. Но она проведена легально, судя по всему.
Эта история стала поводом для очередной дискуссии о балансе между национальной безопасностью, секретностью и защитой частной переписки пользователей. Нет, ФБР не читало чужие письма. Но оно внедрилось в систему и рылось в вашем почтовом ящике, в поисках нужной информации. Пусть это происходило автоматически. Пусть спам-фильтры и системы подбора контекстной рекламы по анализу содержания почтовых писем Google делают то же самое. Но всё равно неприятно.
Некоторые эксперты считают, что момент для скандала, который порочит репутацию Yahoo и Мариссы Майер, выбран очень удачно. «Я не могу отделаться от ощущения, что возможная покупка активов Yahoo и потенциальное вознаграждение для Мариссы Майер от этой сделки могли подтолкнуть некие плохо информированные спекуляции о том, что они делали с почтой пользователей, — говорит профессор Алан Вудворд (Alan Woodward), специалист по безопасности из Университета Суррея (Великобритания). — Я подозреваю, что действия Yahoo не сильно отличаются от того, что делают другие американские сервис-провайдеры».
Если ФБР имело доступ к системе сканирования почтового трафика по произвольным ключевым словам, то это действительно проблема. Законность такой системы сомнительна, эту тему нужно серьёзно обсуждать. Сообщение о тесном сотрудничестве Yahoo с ФБР появилось через две недели после новости об утечке учётных данных 500 млн пользователей Yahoo. Похоже, Мариссе Майер будет заключить трудно выгодную сделку по продаже активов Yahoo и получить достойный гонорар.
P.S. Срок действия параграфа 702 Акта о негласном наблюдении в целях внешней разведки истекает в конце 2017 года. Фонд свободных рубежей организовал общественную кампанию End 702, призывая Конгресс США не продлевать срок действия этого параграфа, потому что она сильно упрощает массовую прослушку электронных коммуникаций государственными службами и нарушает права граждан США.
