Yandex.Taxi — это мобильное приложение для Apple iOS и Google Android, которое позволяет заказать такси без звонка оператору. В программе нужно указать место назначения и сразу увидеть стоимость поездки. Этот сервис аналогичен популярному во всех трех странах Балтии приложению Taxify и всемирно известному Uber, который работает в Литве и Эстонии, а в Латвии не представлен.
В Литве "Яндекс" запустил свой такси-сервис лишь несколько дней назад. Приложение, по словам директора всемирной стратегии Yandex.Taxi Арама Саргсяна, за три дня воспользовались 10 000 раз. Для сравнения — в Эстонии и Латвии за первый месяц работы в каждой стране программой воспользовались по 50 тысяч человек.
Литва: Яндекс может представлять угрозу для безопасности
Литовский Национальный центр кибернетической безопасности (НЦКБ), который подчиняется министерству обороны страны, в понедельник опубликовал заявление, в котором рекомендовал не использовать приложение Yandex.Taxi. По мнению специалистов центра, потребности приложения в получении информации с мобильного оборудования "возможно, создают условия для незаконного сбора личных данных и их накопления, а это вызывает обеспокоенность в связи с безопасностью". Портал Ru.delfi.lt подробно излагает позицию НЦКБ, которая сводится к тому, что приложение "Яндекса" вызывает подозрения из-за российского происхождения и правил обработки информации, которые допускают возможность "делиться" информацией с третьими сторонами. В том числе, очевидно, и российскими спецслужбами.
В похожем ключе выступил и премьер-министр Литвы Саулюс Сквернялис. Спецслужбы страны пообещали тщательно проверить российскую программу и уже потом вынести окончательный вердикт. Отметим, что в любом случае они могут лишь выступить с рекомендациями. Самостоятельно запретить скачивать отдельную программу из магазинов приложений Apple и Googe они не в силах.
Интересно, что у НЦКБ при этом не возникает никаких вопросов по поводу деятельности Uber в Литве. Дело в том, что летом прошлого года Uber и "Яндекс" фактически объединили свои сервисы на рынках России и ряда стран СНГ. Конечно, формально Литвы это не касается, но соседней Белоруссии — еще как! Плюс в цифровом мире мобильных приложений границы очень размыты. Если уж заниматься конспирологией…
"Яндекс", однако, воспринял заявления НЦКБ и премьер-министра Литвы достаточно серьезно, отметив, что готов к любым проверкам. "Yandex. Taxi BV обрабатывает и хранит потребительские данные в строгом соответствии регулирования ЕС, в особенности, GDPR, — утверждает Арам Саргсян.
Как агентству LETA заявила руководитель международной пресс-службы компании Наталья Журавлева, часть требуемых приложением "доступов" (например, к местоположению) нужна для нормальной работы программы, к тому же в таких запросах нет ничего удивительного. Что касается доступа к личной информации пользователя, то это невозможно технически — такого рода функционал регулируют разработчики операционных систем.
При этом намеки на то, что Yandex.Taxi представляет угрозу национальной безопасности Литвы представители "Яндекса" вообще не прокомментировали.
У Латвии и Эстонии претензий нет
Войну против "Яндекса" Литва развязала в одиночку. "Департамент государственных инфосистем [Эстонии] не столь категоричен, как наши литовские коллеги, и никому не запрещает использовать приложение для вызова такси, в том числе служащим госучреждений. Но, разумеется, при использовании того или иного приложения необходимо аккуратно обращаться с собственными данными", — заявил Postimees руководитель подразделения кибербезопасности департамента CERT-EE Тыну Таммер.
По его словам, по данным Google Play, различные приложения для вызова такси запрашивают различные данные и доступ к конфиденциальной информации: в случае Yandexi и Uber примерно к 30-45 защищенным элементам, а Taxify – примерно к 20. "Запросы на получение доступа, конечно, не означают, что всеми вашими данными непременно воспользуются, но, если у вас запрашивают разрешение на доступ к неразумно большому количеству конфиденциальной информации, к этому стоит отнестись критически и с осторожностью", — отметил он.
В Латвии к "Яндексу" вопросов тоже нет. В Cert.lv агентству LETA заявили, что у них нет информации о возможных противоправных действиях компании или ее приложений, а значит и комментировать нечего. В Бюро по защите Сатверсме также отметили, что у него нет причин подозревать "Яндекс" в противоправных действиях, но БЗС следит за ситуацией в сфере кибербезопасности.
Отметим, что международная репутация "Яндекса" вообще и "Яндекс.Такси" пока настолько близка к безупречной, насколько это вообще возможно - для технологической компании из страны, кибер-войска которой обвиняют в манипуляциях выборами, массированных хакерских атаках и других кибер-грехах. Это выгодно отличает "Яндекс" от Uber, который когда-то поймали на слежке за журналистами и политиками, а также от других американских компаний, про тесные сношения которых с американскими и британскими спецслужбами мы знаем благодаря Эдварду Сноудену, WikiLeaks и работе журналистов.
Конечно, это не значит, что "Яндекс" не работает с российскими спецслужбами, а Yandex.Taxi не используется как один из каналов для сбора информации (в конце концов, "золотая акция" компании находится в распоряжении государственного "Сбербанка"). Это лишь значит, что достоверно об этом ничего не известно, то есть обвинять компанию не в чем. Или повод для подозрений все же есть?
Что могло не понравится литовским спецслужбам
Литовский Национальный центр кибернетической безопасности свое заявление сделал практически сразу же после выхода "Яндекса" на литовский рынок. Это значит, что у его специалистов физически не было времени для детального анализа приложения. То есть литовские специалисты, скорее всего, основывались на том, что видит обычный пользователь, вооруженный штатными или почти штатными инструментами. Мы попробовали посмотреть на Yandex.Taxi глазами такого пользователя. Что мы увидели?
Согласно данным самого же приложения, оно запрашивает, получает и отправляет в "Яндекс":
- Местоположение устройства
- Номер телефона
- Адрес электропочты
- Часовой пояс
- Историю вызовов такси
- Поисковые запросы в приложении
- Историю чата с водителем
- Сохраненные адреса
- Список сохраненных в приложении банковских карт
- Произнесенные фразы
- Параметры Wi-Fi
- Технические характеристики устройства
- Данные ОС, включая список установленных программ
Спецслужбы должен был насторожить доступ к микрофону и данным Wi-Fi. Их можно отключить, но в настройках Android, а не самого приложения. Не все пользователи знают, как это делать.
Еще больше их должны были насторожить два последних пункта. Данные в них сами по себе не содержат никакой особой личной информации, но являются важным элементом так называемых мета-данных. По которым, как мы уже писали на примере блестящего эксперимента австралийского журналиста, можно узнать о человеке очень и очень много.
Ну и уже совсем их должен был смутить тот факт, что приложение Yandex.Taxi даже не пытается делать вид, что данные жителей ЕС остаются на территории ЕС. Как видно на одном из скриншотов выше, приложение спокойно устанавливает соединения с дата-центрами на территории России — в Москве и Красноярске. Возможно, это ничего не значит (установить соединение не то же самое, что отправлять личные данные), но все равно выглядит весьма подозрительно.
Национальный центр кибернетической безопасности Литвы пообещал провести детальный анализ и дать свое заключение до середины августа. До этого момента делать окончательные выводы было бы преждевременно.
