Накануне «Сота», напомним, опубликовала расследование о том, как силовики устанавливают, кто донатил ФБК после вступления в силу решения о признании его экстремистской организацией. Счет этим уголовным делам идет на десятки, в последнее время о них сообщается ежедневно. Только сегодня стало известно о двух новых приговорах: в Благовещенске и Тольятти.
В нашем расследовании мы утверждали, что ФБК в 2021 году после якобы долгого тестирования системы донатов допустил грубую прореху в безопасности, о сути которой не рассказал до сих пор. Этой прорехой стал обнаруженный российскими силовиками номер уникального идентификатора получателя средств, мерчант id, который в связке с кодом эквайера (банка) позволяет однозначно идентифицировать любого донатора. Эти данные доступны в банковских выписках. Из-за этой прорехи в распоряжении силовиков оказалась база донаторов «экстремистской организации» за почти 7 месяцев, с августа 2021-го по февраль 2022-го.
ФБК более чем за сутки не дал ответа на сделанные «Сотой» выводы. Зато в твиттере по нашему материалу развернулась целая дискуссия. В ответ на твит экс-айтишника ФБК и создателя VPN-сервиса Red Shield Владислава Здольникова, еще в 2021-м предупреждавшего о неизбежности массовых уголовных дел за донаты Фонду в связи допущенной его руководством ошибкой, Леонид Волков заявил: «Никаких уникальных merchant ID у клиентов Страйпа нет». В качестве доказательства он сослался на описание платежным сервисом своего устройства: «Нашим пользователям не нужно открывать мерчант-счет самостоятельно, и поэтому им не предоставляется номер мерчант id. Используя снова метафору почты, все платежи клиентов отправляются на основной почтовый адрес Stripe, а затем Stripe направляет каждый платеж нужному бизнесу». (При этом выше сервис пишет иначе: «Идентификатор продавца необходим для того, чтобы платежи ваших клиентов могли поступать с их банковских счетов на ваш. Без этого идентификационного номера средства, полученные от платежей ваших клиентов, никогда не поступят на ваш банковский счет».)
Кроме того Волков подчеркнул, что «никакого уникального mechantID нет. Надо же, да, в 2025 году менты в России фабрикуют уголовные дела и пишут в них чушь, потому что какая разница, суд все равно назначит, сколько скажут. Еще раз: нет никакого «уникального идентификатора счета ФБК в банке Wells Fargo» просто уже хотя бы потому, что такого счета никогда не существовало. И потому что Stripe не присваивает уникальные merchantID своим клиентам».
Таким образом, согласно логике Волкова, под угрозой находятся уже не просто донаторы ФБК с августа 21-го по март 22-го годов, а все российские пользователи Stripe за этот период. Однако сам сервис нигде не писал о том, что обладает единым мерчант id. Такой вывод Волков, судя по всему, сделал самостоятельно. Вопрос о принадлежности номера мерчант id ФБК или Stripe имеет не столь принципиальное значение, как то, что принадлежащим ФБК его считают российские силовики, а вслед за ними и суды, выносящие приговоры на этой основе.
Также неизвестной осталась причина, по которой Волков, вместе с сотрудниками «Медиазоны» обладая доступом к материалам первого широко известного дела о донатах – против Андрея Заякина, – не предупредил всех остальных донаторов о рисках, связанных с мерчант id: конкретно ФБК или Stripe вообще.
При этом дела заводятся и на тех, кто донатил ФБК после 5 августа, когда в имени торговой точки (ответе, приходившем донаторам) ФБК уже не упоминался: то есть мерчант id считается ключевой уликой. Так, дело на Константина Котова было заведено за донат 6 августа.
Редакция обратилась к поддержке Stripe с просьбой о разъяснении наличия у него «общего» мерчант id.
