Нет сквозного шифрования

Mail.ru и «Яндекс» — российские сервисы. Mail.ru — часть холдинга российского «Вконтакте», которым с 2021 года руководит Владимир Кириенко, сын первого заместителя администрации Путина. Штаб-квартира «Яндекс» находится в России, есть офис и в Минске.

Эксперт по цифровой безопасности Николай Кванталиани объяснил, что беларуские представительства компаний подчиняются национальному законодательству, а значит, по принятому указу, обязаны предоставлять КГБ и ОАЦ онлайн-доступ к базам сайтов.

При этом почтовые сервисы Mail.ru и «Яндекс» не используют сквозное шифрование, то есть шифрование, которое скрывает содержание сообщения от разработчиков сервиса.

«Условно это можно объяснить так: эти сервисы не используют шифрование на стороне клиента. То есть то, о чем вы общаетесь со своим собеседником, известно вам, ему, и Mail.ru c "Яндексом". Злоумышленники не перехватят ваши данные, но они могут быть переданы третьим лицам по запросу госорганов».

По мнению эксперта, в случае необходимости беларуские силовики могут обратиться и к своим российским коллегам. «Яндекс» и «Вконтакте» подпадают под российское законодательство, включены в российский реестр распространителей информации. А значит — при необходимости будут раскрывать информацию о пользователе.

«По запросу силовых служб может быть предоставлена любая информация. Действующая и удаленная переписка, контакты, геолокация, переданные файлы», — говорит Николай Кванталиани.

«Яндекс», кстати, ведет статистику раскрытия информации по запросу госорганов. Так, например, с января по июнь прошлого года компания удовлетворила 5625 запросов государственных органов (и это только по почтовому сервису, всего же было удовлетворено больше 25 тысяч запросов).

Беларуские силовики сотрудничают с российскими. Только в 2022 году Россия выдала по запросу Беларуси 16 человек, которых разыскивали за преступления «экстремистской» направленности. Страны намерены объединить списки «экстремистских» ресурсов, беларусы включены в базу розыска в России.

Утечки и чем они опасны

Кроме того, есть вопросы и к надежности защиты данных сервисов от взломов. В 2023 году, например, в сеть были слиты данные более чем 3,5 млн пользователей Mail.ru. В холдинге «Вконтакте» масштабный слив объяснили «проникновением внешнего злоумышленника в апреле 2022 года в тестовый контур IТ-инфраструктуры оператора». В сеть попали адреса электронной почты и ID пользователей.

То, что электронный адрес «утечет» в сеть опасно по нескольким причинам. Во-первых, мошенники могут присылать вам фишинговые письма для того, чтобы получить данные для входа в другие сервисы, например, интернет-банкинг или платежные сервисы. Кроме того, зная ваш электронный адрес, мошенники могут попытаться взломать ваши аккаунты в соцсетях.

Николай Кванталиани напоминает, что через функцию восстановления пароля можно увидеть, к какой почте привязан аккаунт.

По этой же причине лучше не привязывать ваш основной адрес электронной почты к мобильным приложениям. В случае утечки данные о почте также могут попасть в руки потенциальным мошенникам.

Проверить, «утекла» ли ваша почта с каких-нибудь сервисов или сайтов, где регистрировались, можно здесь

Безопасные альтернативы

В качестве безопасной альтернативы Mail.ru или «Яндексу» Николай Кванталиани советует выбирать европейские или американские сервисы.

«Они не будут передавать в Беларусь никакие данные. Даже то, что могло быть передано ранее, сейчас не будет передаваться беларуской стороне. В силу всех последних событий и приведших к ним санкций».

Подойдут, например, бесплатные почтовые клиенты вроде Gmail, Yahoo или Outlook. Gmail не использует сквозное шифрование, но содержимое почты, как уверяют разработчики, не используется для персонализации рекламы. Gmail дает отправителю возможность запретить адресату скачивать, копировать или отправлять в печать содержимое письма.

Почтовый сервис Protonmail защищен сквозным шифрованием и использует встроенный VPN. Базовая версия бесплатная, если нужно отправлять больше 150 писем в день и хранить в почте больше 1 ГБ данных, то можно выбрать один из платных тарифов — за 3,99 или 9,99 евро в месяц. Похожие функции и тарифные планы и у почтового клиента Tutanota.

Сервисы, как правило, предлагают простой механизм перехода с одной почты на другую c импортом контактов и переписок. У Protonmail для этого есть отдельно созданное приложение-синхронизатор Easy Switch.

Базовые правила безопасности

• Использовать длинный и сложный пароль, уникальный для каждого сайта.
• Не называть свою почту, используя реальную фамилию и имя (если к этому не обязывает работа).
• Регулярно менять пароли.
• Включить двухфакторную аутентификацию.
• Не переходить по подозрительным ссылкам и не открывать письма от незнакомых отправителей.
• Не использовать российские или беларуские сервисы в качестве резервной почты.
• Регулярно проверять активные устройства в списке в настройках.
• Регулярно чистить почту и удалять ненужные письма и файлы.