ФСБ раскритиковала мессенджер Max за ненадежность

Федеральная служба безопасности выдвинула ряд претензий к защищенности национального мессенджера Max от VK. Об этом пишут в своих телеграм -каналах журналисты Фарида Рустамова и Мария Коломыченко со ссылкой на источники. Претензии касаются возможных утечек персональных данных пользователей Max.

Как пишут журналисты, им удалось ознакомиться с сопроводительными документами к «одному из последних» заседаний президиума правкомиссии по цифровому развитию. Когда проходило это заседание, они не уточняют. На этом заседании обсуждалось подключение Max к Единой системе идентификации и аутентификации (ЕСИА) — сервису, через который граждане авторизуются на «Госуслугах» и других государственных сайтах. По итогам заседания ФСБ представила замечания и требования к защищенности мессенджера. Из-за этих замечаний Max пока не может получить доступ к промышленной версии ЕСИА и, следовательно, быть подключенным к «Госуслугам» утверждают два источника на российском IT-рынке и один близкий к VK собеседник.

После выхода публикации журналистов, зампред комитета Госдумы по информационной политике Антон Горелкин заявил , что «все необходимые ведомственные разрешения были получены еще два месяца назад». По его словам, «Госуслуги» появятся в Max «уже через несколько недель», а интеграция «полностью отвечает всем требованиям безопасности, которые предъявляются к работе государственных информационных систем».

Он добавил, что тогда же, два месяца назад, началось и закрытое тестирование мессенджера. Пресс-служба VK ранее сообщала , что «успешно протестировали» совместно с компанией «Инфотекс Интернет Траст» оборудование для подключения к Госуслугам — протокол аутентификации OpenID Connect, которое позволяет с согласия пользователя передавать данные между ЕСИА и Мах.

Спустя несколько часов после заявления Горелкина, на него ответила одна из авторов материала, Мария Коломыченко в своем телеграм-канале. Она подвтердила, что само заседание правкомиссии действительно состоялось два месяца назад. Однако, по ее словам, требования ФСБ за это время не могли быть выполнены. В частности, она обратила внимание на публично размещенный на Росэлторге тендер VK на закупку NGFW UserGate для «Коммуникационной платформы» — юрлица-разработчика национального мессенджера. По ее словам, это программно-аппаратный комплекс, который фильтрует трафик, блокирует атаки в реальном времени — «проще говоря — это ровно то, что ФСБ хочет видеть у Maх (вернее, лишь небольшая часть того)», пишет Коломыченко.

Согласно информации на сайте, итоги тендера подвели только 7 июля. «Если до такой базовой вещи как покупка NGFW дошли только сейчас, то с высокой долей вероятности к более специфическим требованиям ФСБ ещё даже не приступали», — предположила Коломыченко.

UPD: Также на сайте «Росэлторга» опубликован протокол, датированный 17 июня.

Она также отметила, что информация о начале тестирования интеграции с «Госуслугами» не означает готовности к промышленному подключению. Как следует из нормативных документов, «тестовая среда нужна для отладки, в ней нет передачи реальных персональных данных, и требования при подключении к ней намного мягче», — пишет Коломыченко.

Претензии к Max

По словам одного из собеседников журналистов, служба потребовала создать «модель угроз, обеспечивающую защищённость персональных данных пользователей», а также заключить договоры с лицензиатами Федеральной службы по техническому и экспортному контролю (ФСТЭК) и ФСБ для проведения аудита. Кроме того, от мессенджера требуют внедрить криптографическую защиту информации определённого класса для организации защищенного канала связи с ЕСИА. «Max смотрится суперчувствительно, поэтому там запрос вплоть до анализа и предоставления исходных кодов на проверку», — добавил другой источник. Он называет эти требования логичными.

Источник, близкий к VK, рассчитывает, что «большую часть претензий удастся закрыть». Он также отметил, что аналогичные претензии выдвигает и профильный вице-премьер Дмитрий Григоренко, курирующий работу госмессенджера. Федерального чиновника якобы беспокоит риск утечек и возможный рост мошенничества с использованием «Госуслуг» после подключения Max. В пресс-службе Max отказались от комментариев журналистам.

О появлении «первых мошенников» в Max сегодня рассказал директор по дизайну VK Артемий Лебедев. По его словам, злоумышленники создали в мессенджере чат под видом службы поддержки «Госуслуг». Однако, в отличие от членов правительства, представитель VK причин для беспокойства не видит и уверен в безопасности мессенджера. «По крайней мере, в мессенджере Max минимальное количество такого говна будет, если сравнивать его с WhatsApp или Telegram», — уверен Лебедев. Он добавил, что российским мессенджером пользуются «люди, как правило, изначально все проверенные».

1 июля создатели Max пообещали платить пользователям, которые смогут найти критические уязвимости в мессенджере. Как следует из данных портала по поиску уязвимостей Bug Bounty, с тех пор уже было найдено две подобные уязвимости, по ним суммарно компания выплатила 223 тысячи рублей. Еще по трем уязвимостям вознаграждения только находятся в процессы выплаты. Деньги платят только за ранее неизвестные «дыры» критического уровня, следует из описания программы.

О желании интегрировать Max с «Госуслугами» сообщал в мае министр цифрового развития Максут Шадаев. По его словам, до этого министерство обсуждало такую возможность и с Telegram, однако чиновники «не решились c определенными моментами». В конце июня сенатор Ольга Епифанова (комитет по аграрно-продовольственной политике) сообщала , что Max интегрируют с «Госуслугами» только в октябре-ноябре.

VK позиционирует Max как будущий российский аналог китайского WeChat, который объединяет в себе не только мессенджер, но и платежную систему, новостной агрегатор и другие функции. При этом у VK уже есть несколько мессенджеров, включая «VK Мессенджер», VK Teams и «Сферум», но ни один из них не получил широкого распространения. Прошлый год холдинг завершил с убытком в 94,9 млрд рублей.

Источник: news.rambler.ru

Комментарии: