«Раскрыли ФИО, адреса, номера телефонов»: утечка базы данных пользователей «Яндекс. Еда» в марте 2022 – где посмотреть
В сети появилась информация о сливе данных сервиса «Яндекс. Еда» в марте 2022 года. Где и как можно посмотреть информацию? Правда ли произошла утечка данных?
Слив информации «Яндекс. Еда» – где можно посмотреть сейчас
На сайте Яндекс еда был сбой и произошла утечка базы данных. Некоторые сайты умудрились эти данные себе забрать, но все они уже заблокированы Роскомнадзором. Такие данные не для сети.
Сайт с украденными данными saverudata.org вчера работал, а сегодня уже заблокирован в РФ и в других странах. Впн не помогает.
Поэтому слитые данные вы уже не посмотрите. Единственное, что хочу порекомендовать, так это обратиться в тп Яндекс еды и попросить об удалении своих персональных данных, если вы там делали заказы. Они должны пойти вам навстречу. На ресурс Яндекс еды была совершена хакерская атака, вот так данные в сеть и утекли, но уже все заблокировано. Ведутся проверки.
В сети опубликовали личные данные пользователей сервиса «Яндекс. Еда»
В начале марта 2022 года служба безопасности «Яндекс. Еды» сообщила об утечке информации, которая произошла «в результате недобросовестных действий одного из сотрудников». В сети опубликовали телефоны клиентов и информацию об их заказах, включая сведения о потраченных деньгах.
22 марта в сети появилась интерактивная карта, на которой клиенты «Яндекс. Еды» могут себя найти.
Среди прочего, в обнародованной базе данных указываются адрес клиента, номер телефона, используемое устройство для оформления заказов и сумма, потраченная за полгода. Проверка DTF показала, что информация верна. Создатели сервиса также подготовили форму, которая позволяет проверить наличие в базе данных по номеру телефона или ФИО.
Авторы интерактивной карты написали, что желающие могут удалить свои данные из базы, обратившись к ним в службу поддержки. Однако позже выяснилось, что номер на сайте каждый раз случайным образом выбирается из «слитой» базы.
Ранее стало известно, что «Яндекс» планирует продать сервисы «Новости» и «Дзен», чтобы «сконцентрироваться на развитии поиска, технологий и городских сервисов» в связи с экономической ситуацией.
Интерактивная карта с данными клиентов – какую информацию слили
Пользователи обнаружили в интернете сайт с картой с данными клиентов «Яндекс. Еды». Об утечке, в результате которой в сети оказались телефоны клиентов и их адреса, компания сообщила 1 марта. На выложенной карте доступна информация о пользователях, сделавших заказы на более чем 58 000 адресов
22 марта корреспондент Forbes обнаружил свои данные, а также данные некоторых своих знакомых, использующиеся при заказе в сервисе «Яндекс. Еда» (Ф.И.О., адрес, номер телефона, адрес электронной почты, а также общую сумму заказов) на карте, выложенной на сайте, созданном, по данным Whois, 14 марта. Всего на карте доступны данные по 58 000 адресов, в том числе и о заказах, сделанных за пределами России. Данные доступны по клику на точку на карте или поиску (достаточно ввести номер телефона или фамилию), таким образом каждый желающий может увидеть номер телефона и адрес клиента «Яндекс. Еды», данные которого попали в сеть в результате утечки.
«После начала военной спецоперации России на Украине, в результате массовых кибер атак на веб ресурсы РФ множество личных данных было незаконно выложено в сеть. Мы публикуем базу с персональной информацией россиян, которой могут воспользоваться с целью запугивания и обмана. Вы можете проверить на карте какая информация есть у преступников, чтобы понимать риски. Предупрежден значит вооружен!», — говорится на сайте (орфография и пунктуация автора сохранены).
Создатели сайта указывают номер телефона, по которому можно обратиться, чтобы убрать обнаруженные о себе данные «со следующим обновлением сайта». При этом номер обновляется при каждом новом открытии страницы. Дозвониться ни по одному из номеров не удалось.
В сети опубликовали карту с данными клиентов сервиса «Яндекс. Еда» – последние новости
В «Яндексе» заявили, что после утечки данных, о которой компания оповестила пользователей 1 марта, новых подобных инцидентов не было.
22 марта несколько Telegram-каналов опубликовали ссылку на сайт с картой, где указаны более 58 тысяч адресов, использованных клиентами сервиса доставки «Яндекс. Еда». Среди слитой информации — адреса электронной почты пользователей, их номера телефонов, а также суммы, потраченные за последние шесть месяцев.
По словам представителей «Яндекса», новых утечек не было: в основе сайта лежит утечка данных пользователей, о которых «Яндекс» сообщил 1 марта. Тогда отмечалось, что утечка не коснулась банковских, платежных и регистрационных данных пользователей (логинов и паролей).
Позже ссылка на сайт с картой была удалена из Telegram-каналов, а сам ресурс перестал открываться у российских пользователей. «После начала военной спецоперации России на Украине, в результате массовых кибер атак на веб ресурсы РФ множество личных данных было незаконно выложено в сеть. Мы публикуем базу с персональной информацией россиян, которой могут воспользоваться с целью запугивания и обмана. Вы можете проверить на карте какая информация есть у преступников, чтобы понимать риски», — указано на сайте.
«Яндекс. Еда» – слив личных данных пользователей: как обезопасить себя
Недавно хакеры взломали сайт Яндекс. Еды и слили данные пользователей в открытый доступ — в интернет. На сайте доступен поиск человека по номеру телефона или даже по электронной почте, но самый интересный функционал заключается в самой карте. Можно посмотреть данные своих соседей, на какую сумму они заказывали в этом сервисе за последние 6 месяцев. Например, очень неожиданно было узнать, что один сосед умудрился заказать себе еды на 70 000 рублей, узнал его почту и номер телефона, даже этаж и квартиру.
«Ждите интернет-коллапс!»: правда ли, то в России отключат интернета в марте 2022 года – свежие новости об изоляции рунета →
«Яндекс. Еда»: клиенты приложения могут удалить личные данные
«Яндекс» в ближайшее время подключит сервис «Яндекс. Еда» к инструменту для управления данными, позволяющему отслеживать, какие сведения о пользователях накопили разные сервисы, и удалять их, сообщил в блоге компании руководитель «Яндекс. Еды» Роман Маресов.
Компания 1 марта сообщила, что недобросовестные действия сотрудника сервиса доставки «Яндекс. Еда» привели к утечке в интернет телефонов клиентов сервиса и информации об их заказах. По данным «Яндекса», утечка не коснулась банковских, платежных и регистрационных данных пользователей, то есть логинов и паролей.
«В скором времени мы подключим «Еду» к инструменту для управления данными, который «Яндекс» запустил в прошлом году. С его помощью можно посмотреть, какие данные о вас накопили разные сервисы, и при желании удалить их раз и навсегда», — сообщил Маресов.
Он отметил, что сервис свел к минимуму количество сотрудников, которые имеют доступ к приватным данным и уже переносит информацию в более защищенное хранилище. Система, через которую был получен доступ к данным, уже закрыта, проведен полный аудит безопасности.
«Об утечке мы узнали 28 февраля. Утёкшая информация — массив из нескольких миллионов строк, в которых содержались сведения о заказах из «Яндекс. Еды». Это адреса, номера телефонов, имена — в том виде, в каком они указаны в сервисе, — а также даты и время заказов. Утечки логинов, паролей и данных банковских карт не было, эта информация в безопасности», — добавил руководитель сервиса.
Злоумышленники запустили сайт с визуализацией 22 марта, данные пользователей «Яндекс. Еды» были привязаны к интерактивной карте. Как указывает Маресов, на сайте можно найти сведения, которых не было в массиве — ФИО и адреса электронной почты. «Это означает, что создатели сайта скомпоновали данные «Еды» с данными, утёкшими из других компаний», — добавил он.
«Мы добиваемся блокировки сайтов и каналов, которые публикуют данные. Мы связываемся с регистраторами и облачными хранилищами — чтобы разделегировать домены и удалить файлы с информацией о заказах. К 23 марта большинство провайдеров уже заблокировали ресурсы, которые распространяли утёкшую информацию, — они недоступны на территории РФ», — добавил гендиректор сервиса.
«Сетевые свободы» направит иск против сервиса «Яндекс. Еда»
23 марта проект «Сетевые свободы» объявил о начале организации юридической помощи пострадавшим пользователям и организует коллективный иск против «Яндекс.Еды» после массовой утечки данных клиентов.
«В Сеть слили данные пользователей «Яндекс. Еды». Если вы нашли себя в базе, обращайтесь на нашу горячую линию», – сообщают авторы проекта.
Проект «Сетевые Свободы» готов оказать помощь в привлечении сервиса к ответственности за то, что он не обеспечил надежное хранение массива чувствительной информации: «Понадобится доверенность, чтобы адвокат мог действовать от вашего имени. Мы не собираем личную информацию, поэтому ваши паспортные данные вы сообщите только адвокату, который будет работать по делу».
Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и следующие данные:
- имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
- номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
- полный адрес доставки клиента;
- комментарии к заказу.
Выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.
Минцифры предложило ввести наказание за утечку персональных данных
В феврале этого года Минцифры предложило ввести для операторов персональных данных многомиллионные оборотные штрафы за утечку персональных данных (ПД) российских пользователей. Эта мера должна привлечь внимание к их защите, а также заставить операторов ПД существенно усовершенствовать текущие меры защиты для предотвращения дальнейших утечек.
В настоящее время за утечку персональных данных очень маленькие штрафы, согласно ст.13.11 КоАП. Фактически операторы ПД сейчас ничем не рискуют, если потеряют базы данных тысячи пользователей. На них судом будет наложен штраф в несколько десятков тысяч рублей.
По сообщению Habr.com, в ноябре 2021 года суд оштрафовал Oriflame на 30 тыс. рублей за утечку персональных данных 1,5 млн российских клиентов, включая скан-копии их паспортов. Эксперты считают, что ущерб для пользователей от таких утечек может быть в сотни миллионов рублей — мошенники могут брать по документам из утечки микрозаймы, оформлять сим-карты или кошельки платежных систем и даже попытаться украсть деньги с банковских счетов пострадавших клиентов с помощью социальной инженерии.
Как обезопасить себя после слива информации из сервиса «Яндекс. Еда» – комментарии эксперта
Инженер-программист компании «Юнитесс» Владислав Голушко в четверг, 24 марта, рассказал «Известиям», как можно обезопасить себя после утечки данных из сервиса «Яндекс.Еда». По словам эксперта, главная опасность утечки, по мнению программиста, состоит в реакции компании «Яндекс», которая недостаточно активно препятствует распространению данных в Сети. Так, с момента утечки появились сервисы с данными пользователей.
«Злоумышленник буквально может посмотреть, где вы живете и сколько тратите на еду. Конечно, сервисы будут блокировать, но достаточно медленно. Чтобы полностью себя обезопасить, надо по-хорошему менять номер телефона и отвязать все свои карты от аккаунта в «Яндекс.Еде». И, соответственно, оплачивать услуги только наличными», — подчеркнул Голушко.
1 марта компания сообщила, что служба информационной безопасности «Яндекс.Еды» выявила утечку информации. База охватывает всю территорию РФ и некоторые другие страны, среди которых Белоруссия и Казахстан. В результате недобросовестных действий одного из сотрудников были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки. Утечка не коснулась банковских, платежных и регистрационных данных пользователей, то есть логинов и паролей.
По итогам внутренней проверки «Яндекс» ужесточил подход к хранению информации, в том числе связанной с заказами, и обещал обеспечить ей уровень защиты, сопоставимый с уровнем защиты платежной информации, логинов и паролей. По информации пресс-службы, все пользователи были уведомлены об утечке данных, компания также обратилась в правоохранительные органы.
Правда ли, что произошла утечка базы данных СДЭК – последние новости
25 февраля 2022 года на форуме raidforums.com появилась информации об утечке базы данных клиентов СДЭК. Далее цитата из телеграмм канала:
Вчера (25.02.22) была опубликована база данных СДЭК на raidforums.com который являлся крупнейшим форумом, на котором размещались различные утечки информации (Базы данных). В данный момент домен и возможно сервера форума были арестованы, сейчас там размещена страница входа, к которой администрация форума не имеет отношения и доступа, в чате они попросили сменить пароли, когда форум заработает на основном домене.
Содержание поста о сливе СДЭК’а было такое: ««СДЭК» — российский оператор экспресс-доставки документов и грузов, основанный в 2000 году как помощник в доставке товаров интернет-магазина Korzina.ru по Сибирскому Федеральному округу. Однако вскоре интернет-проект закрылся, а логистический оператор развился до федерального игрока».
Это не полная база, в ней нет адресов доставки, возможно она будет опубликована в ближайшее время.
Известно, что архив самой БД весит 30Гб. Подтвердить, что это данные СДЭК еще предстоит, но сообщают, что данные в базе верные. База состоит из двух файлов, на 466 млн. строк и на 822 млн. строк.
Утечка данных в сервисе «Яндекс.Еда» — проблема личных данных
Никто из компаний не защищен от утечки данных, которая может случиться из-за человеческого фактора, когда сотрудник компании пренебрегает своими обязанностями или вовсе действует злонамеренно. Корпорации выставляют несколько уровней защиты, стараются обезопасить себя и свои данные, но никогда защита не может быть стопроцентной. Тут важно понимать, насколько компания прикладывает усилия по защите данных — как своих, так и пользовательских. Зачастую понять это можно только постфактум, когда грянул гром и данные оказались в свободном доступе.
Одной из самых громких утечек пользовательских данных можно считать таковую в сервисе «Яндекс.Еда», она случилась в конце февраля, а 1 марта компания сообщила об этом десяткам тысяч пользователей в письме. Я один из тех, кто это письмо получил.
На примере этого инцидента можно рассмотреть, как реагировал «Яндекс» и как можно было обыграть эту ситуацию. Забегая вперед, скажу, что в «Яндексе» привычно решили сделать вид, что проблемы не существует, и постараться быстрее о ней забыть. Получилось как минимум плохо, и эта история будет догонять компанию еще долгие годы. Попробуем разобраться в том, что случилось, и в том, что «Яндекс» сделал, а главное, чего он не сделал. Это будет полезно для всех, кто попадет в такой оборот, возможно, негативный опыт «Яндекса» научит, как вести себя в подобных ситуациях.
Никто не застрахован от проблем, и тут важно, как компания реагирует на это, что рассказывает, почему имеют значение слова и действия. В «Яндексе» сообщили об утечке только в момент, когда об этом стало известно СМИ, тут не было никакой работы на упреждение. И это выглядит как заметание неприятной информации под коврик: а вдруг никто не заметит?
Работая с данными, я всегда стараюсь сохранить точность формулировок, и письмо, которое я получил от «Яндекса», выглядит странным. В нем утверждается, что в интернет “попали номера телефонов наших клиентов” и тут же “утечка не коснулась банковских и платёжных данных, логинов и паролей”. Любой клиент, который пользуется сервисами «Яндекса», в курсе, что ваш номер телефона выступает как логин в этих сервисах. Мелочь, казалось бы, но хорошо характеризует подход компании, которая не заботится о деталях. Такие мелкие оговорки зачастую многое говорят об общей картине. С другой стороны, то, что в «Яндексе» очень слабый PR, давно стало притчей, он номинально существует, в реальности толпа пиарщиков пасует перед любой мало-мальски сложной задачей. Да что там сложной, даже довольно обыденные вещи вызывают оторопь, например, ответ на запрос комментария — ему даже могли “по ошибке” присвоить номер обращения и направить журналиста на автоматизированную систему помощи клиентам. Это смешно и грустно одновременно. Проблема там выросла из обратной ситуации: отчаявшиеся клиенты, которые не могли получить поддержку от «Яндекса», начинали писать на все найденные адреса, в первую очередь в PR, отсюда необходимость завести все запросы в автоматическую систему ответов.
С 1 марта прошло три недели, но больше «Яндекс» на тему утечки ничего не комментировал. Хотя за эти недели появилось энное количество ресурсов, на которых данные обработаны в удобном виде, есть карта, на которой можно посмотреть адреса, количество потраченных денег за прошедший год, узнать имя и фамилию человека, номер его телефона, полный адрес и, возможно, код от домофона плюс дополнительную информацию.
Заказы и описание блюд, которые вы покупали, при этом не выводятся, но в дампе базы данных эти сведения также содержатся. Из них можно сделать выводы о том, что вы любите есть, как много еды заказываете и на какое число человек по числу заказанных приборов.
Развлекался тем, что смотрел, что заказывают мои соседи, на какие суммы, делился с ними информацией в разговорах, что вызывало у них шоковое состояние — письмо от «Яндекса» практически все проигнорировали и не увидели. А те, кто увидел, не придали значения, так как не посчитали чем-то важным.
Фамилия, телефон, адрес и сколько съел: что расскажет о вас утечка из «Яндекс.Еды»?
В сети опубликовали персональные данные более чем 100 тыс. клиентов «Яндекс.Еды». Беспрецедентный характер киберхищений подчеркивает доступность информации для обычного пользователя — преступники заботливо «выгрузили» данные на интерактивную карту и сформировали систему поиска клиентов по фамилии или номеру телефона. Корреспондент «БИЗНЕС Online» воспользовался сервисом и легко нашел в числе 60 тыс. пользователей «Яндекс.Еды» в Татарстане себя, своих знакомых, а также нескольких VIP-персон республики. Эксперты по соображениям безопасности советуют не пользоваться этими сервисами, а тем, чьи данные опубликованы, надо готовиться к звонкам мошенников — с электронной почтой, адресом и полным именем жертвы они составят правдоподобную историю.
Накануне в одном из телеграм-каналов появилась ссылка на интерактивную карту с личными данными клиентов сервиса «Яндекс.Еда». В открытом доступе оказалось более 100 тыс. данных
Теперь все знают, что вы ели прошлым летом: в сеть слили данные клиентов «Яндекс.Еды»
Накануне в одном из телеграм-каналов появилась ссылка на интерактивную карту с личными данными клиентов сервиса «Яндекс.Еда». В открытом доступе оказалось более 100 тыс. данных — имена, фамилии, телефонные номера, адреса, электронная почта и общая сумма заказов россиян за последние полгода. На карте отражаются также данные соседней Беларуси и Казахстана. Чтобы воспользоваться картой, достаточно перейти по ссылке, выбрать населенный пункт и укрупнить масштаб до городских кварталов. В крупных городах практически напротив каждого дома расставлены метки, за каждой из которых кроются данные пользователей сервиса.
В «комплекте» с картой идет вторая ссылка — на сервис по поиску заказчиков по номеру телефона или фамилии. В преамбуле к поисковику сообщается, что после начала спецоперации России на Украине в результате массовых кибератак на веб-ресурсы РФ множество личных данных было незаконно выложено в сеть. «Мы публикуем базу с персональной информацией россиян, которой могут воспользоваться с целью запугивания и обмана. Вы можете проверить по телефону или фамилии, какая информация есть у преступников, чтобы понимать риски. Предупрежден — значит вооружен!» В ответ на номер телефона или фамилию в поисковой выдаче появляется список заказчиков (насколько он будет большим, зависит от популярности фамилии), их имена или названия юрлиц, электронная почта и телефоны с подробными адресами, вплоть до этажа и номера квартиры.
По информации создателей базы, всего в сеть утекли данные 30 млн пользователей «Яндекс.Еды», но можно ли этому верить, неизвестно. В марте 2021 года СМИ сообщали оценочное число пользователей сервиса — более 5 млн человек. Сама компания количество пользователей не раскрывает.
Публикация карты и поисковика запустила развлекательный аттракцион «найди себя и своего друга». Пользователи интернета в России через нехитрые манипуляции начали искать, насколько велики аппетиты их знакомых, соседей и VIP-персон, которые делали заказы от своего имени.
На названных сайтах указаны номера телефонов, позвонив по которым, можно попросить удалить личную информацию. По первому номеру корреспондент «БИЗНЕС Online» не смогла дозвониться, а по второму трубку снял мужчина, который сообщил, что произошла какая-то ошибка и его уже несколько раз побеспокоили с таким вопросом. На этих ресурсах также размещены гиперссылки на инструкции по аморальным или преступным действиям. Они ведут на размещенные в сети материалы, которые рассказывают, как шантажировать людей в соцсетях, как можно обокрасть чужую квартиру или не оставить следов на месте преступления. Часть гиперссылок уже заблокирована.
Пользователи интернета в России через нехитрые манипуляции начали искать, насколько велики аппетиты их знакомых, соседей и VIP-персон, которые делали заказы от своего имени
«Яндекс.Еда»: виновного накажут, данные защитят
Сообщения об утечке данных в последнее время появляются нередко, об одном из самых масштабных сливов СМИ сообщали в 2019 году. Тогда данные как минимум 5 тыс. кредитных карт клиентов Сбербанка в сеть выгрузил начальник сектора управления прямых продаж. Сотрудник Сбера воспользовался правами администратора, корпоративной почтой и флеш-картой на 8 Гб. На всю операцию у него ушло 10 часов, сообщает РБК. Кража данных «Яндекс.Еды» отличается не только бо́льшим числом потерпевших, но и визуализацией данных, переводом их в интерактивный формат, что дает людям возможность оценить размах преступления.
Напомним, первая информация о взломе базы данных «Яндекс.Еды» появилась еще 1 марта, но тогда было невозможно оценить масштаб бедствия, поскольку не была составлена система поиска, а информация о заказчиках не была нанесена на карту. 1 и 2 марта пользователи сервиса получали одинаковые письма, в которых служба информационной безопасности «Яндекс.Еды» сообщала о выявлении «внутренней утечки данных о заказах в сервисе». «В интернет попали номера телефонов наших клиентов и техническая информация о заказах: дата создания, состав и другие подробности. Утечка не коснулась банковских и платежных данных, логинов и паролей — они в безопасности», — убеждали авторы рассылки. Служба безопасности также предупредила, что в отношении виновных в утечке будут приняты установленные законом меры, подход к хранению информации о заказах был ужесточен, а уровень защиты и мониторинг доступов к критичным данным усилен.
По сообщениям пресс-службы «Яндекса», данные слил один из сотрудников компании. «В отношении виновного в утечке сотрудника будут приняты установленные законом меры. „Яндекс.Еда“ обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все, для того чтобы предотвратить распространение опубликованной информации», — заявила СМИ представитель пресс-службы «Яндекса» Елена Новикова.
Сегодня пиар-менеджер фудтех-направления «Яндекс.Такси» Дарья Страхова рассказала журналисту «БИЗНЕС Online» о том, что для минимизации распространения массива данных компания продолжает работать с владельцами ресурсов, которые могут использовать злоумышленники. Отметим, некоторые телеграм-каналы сообщали, что вместе с адресами и телефонами пользователей были украдены их паспортные данные, но Страхова назвала эту информацию недостоверной. Сколько всего клиентов пострадало при беспрецедентной утечке, она не смогла уточнить.
В «Яндексе» также указали на то, что опубликованная информация может быть собрана из разных баз разной давности. «Данный сайт может быть небезопасен, мы рекомендуем вам не проверять информацию через него и не звонить по указанным номерам. Мы на связи с правоохранительными органами и предпринимаем меры, чтобы ограничить распространение данных», — сообщили в «Яндекс.Еде».
В компании нашему корреспонденту добавили, что ресурс с визуальной картой сейчас уже недоступен. Но в действительности наш журналист с легкостью смог воспользоваться как интерактивной картой, так и системой поиска заказчиков. Более того, любой желающий может скачать все находящиеся в базе персональные данные клиентов сервиса.
Сервис «Яндекс.Еда» опроверг сообщения о новой утечке данных пользователей. «Никаких новых инцидентов в сфере информационной безопасности с 1 марта не было. Речь об утечке, о которой „Яндекс.Еда“ рассказала 1 марта, и тогда же уведомили всех затронутых пользователей по электронной почте», — сообщили в пресс-службе сервиса.
В Казани и прилегающих к столице РТ районах, включая Зеленодольскую агломерацию, зафиксированы почти 60 тыс. пользователей сервиса «Яндекс.Еда»
60 тыс. заказчиков из Татарстана: чиновники, политики, бизнесмены
В Казани и прилегающих к столице РТ районах, включая Зеленодольскую агломерацию, зафиксированы почти 60 тыс. пользователей сервиса «Яндекс.Еда». Куда меньше заказчиков в Набережных Челнах — 340, Нижнекамске — 116 и Альметьевске — 154.
Заказы по расположенным в столице РТ зданиям распределяются неоднородно и делятся на «домашние» и «рабочие». Например, на территории Казанского кремля зафиксирована деятельность порядка 70 заказчиков, в здании на площади Свободы, 1 их 7, а в Госсовете РТ — 5. В выходных данных указывается полное имя заказчика (иногда есть только имя или аббревиатура), его номер телефона, адрес, электронная почта, тип операционной системы телефона (iphone или android) и потраченная за 6 месяцев на заказы сумма. К примеру, в Госсовете РТ пять пользователей за полгода потратили совокупно почти 140 тыс. рублей. Причем один заказчик за это время потратил 86,5 тыс. рублей, а другой — 312 рублей. В ЖК «Суворовский» — 105 клиентов «Яндекс.Еды», а в «ЖК «Пять звезд» — почти 500.
Среди заказчиков фигурируют и VIP-персоны. Например, один из жителей ЖК «Кристалл», сын высокопоставленного чиновника, за полгода заказал через сервис еды или продуктов на 25 тыс. рублей. Председатель одного из госкомитетов РТ, проживающий в ЖК «Берег», потратил 8 тыс. рублей. Проживающий на улице Щапова директор одного из крупных агрохолдингов потратил более 55 тыс. рублей. В Боровом Матюшино у одного из игроков баскетбольного клуба «Зенит» на заказы в «Яндекс.Еде» ушло почти 30 тыс. рублей.
«Стоит завести для онлайн-заказов отдельную банковскую карту с небольшим количеством денег и отдельный почтовый ящик, на котором не будет никакой переписки»
«Нельзя доказать ущерб, который может наступить только через какое-то время»
По просьбе «БИЗНЕС Online» эксперты оценили масштабы утечки и объяснили, что делать тем, чьи данные украли.
Владимир Ульянов — руководитель аналитического центра Zecurion:
— С тем, что ваши данные оказались скомпрометированы, уже ничего не сделаешь. Когда мы заполняем анкеты, передаем данные, мы их уже не контролируем и можем лишь надеяться, что они не будут взломаны и не утекут.
Сейчас надо иметь в виду, что мошенники могут использовать эти данные для реализации своих схем. Мошенники звонят, представляются кем-то, просят перевести деньги, продиктовать СМС-код или еще что-то. Если они звонят наугад, эффективность этих звонков крайне низка. Если есть такие базы и мошенники располагают данными о жертве, они могут придумать более правдоподобные истории, и жертва поверит.
К сожалению, такие истории случаются довольно часто по всему миру. Чаще всего причиной утечек становятся собственные сотрудники. Задача у них проста: переслать базы по интернету, скопировать на флешку, и сделать это можно сейчас практически мгновенно и бесследно. Не всегда даже компании могут понять, кто стал виновником произошедшего.
Сервисами с базами слитых данных я не рекомендую пользоваться среднестатистическому человеку: высока вероятность нарваться на мошеннические ресурсы. Большинство из них сами собирают информацию: хочешь узнать, не скомпрометирована ли твоя банковская карта — введи ее номер! И люди вводят, не задумываясь, что подарили свои персональные данные неизвестно кому.
Олег Седов — эксперт по информационной безопасности:
— Это не первая и, к сожалению, не последняя утечка данных, надо готовиться к тому, что их будет все больше. Я бы отметил две характерные причины нашего времени, которые мотивируют утечки. Во-первых, формула нашего времени: «Для кого беда*, а для кого мать родна» (*тут слово, запрещенное по распоряжению Роскомнадзора и прочих уполномоченных). В принципе, так было всегда. Но сейчас все многократно перегрето и усилено. Сотрудники, которые еще вчера были мотивированны и лояльны компании, могут неожиданно начать работать против компании по личным политическим мотивам. Понимание, что нельзя работать в компании и быть против нее, непременно придет позже, но сейчас все в крайностях. Поэтому корпоративным службам ИБ будет нелишним усилить контроль за поведением сотрудников. Любые отклонения от привычных паттернов должны вызывать повышенное внимание. Очевидно, что без средств автоматизации, например DLP-систем, эти задачи решить крайне сложно (иначе глаза будут в кровавых мозолях у смотрящих). Никакие политические мотивы не могут оправдать действия злоумышленников!
А во-вторых, к хищению баз данных мотивируют и перспективы экономики. Это подталкивает сотрудников, которые были лояльными еще вчера, искать дополнительный заработок. Цены растут, перспективы неясны, повышение зарплаты не ожидается, так что люди пытаются унести с работы что-то, что можно выгодно продать. Например, базу данных. Это уже задача для HR, которым нужно работать с лояльностью персонала, а не провоцировать последних на дополнительные заработки, в том числе кражу корпоративных ценностей. Данные уже давно относятся к ценному товару.
Но никакие действия корпоративных экспертов не освобождают рядовых граждан от привычных правил кибергигиены.
Объемы утечек растут, частота их не снижается, и последствия не заставляют себя долго ждать. Как правило, мы не можем проверить, были ли именно наши данные в слитой базе. А даже если можем — нельзя доказать ущерб, который может наступить только через какое-то время.
В современных условиях у криминала только одна проблема — у них никогда не бывает много адресов потенциальных жертв. Они готовы в дело пустить все, что смогут получить в свои руки. У преступных групп есть несколько сценариев, как действовать, как только появится список проверенных адресов потенциальных жертв. Базы поступают в этот криминальный котел, как некое топливо, его фигуранты могут пострадать. Доказать, что конкретно эта рассылка привела к криминальной ситуации, практически нереально. Лучше до этого не доводить. Отказаться от сервисов уже не получится, но рассчитывать, что кто-то наши данные защитит так же надежно, как и мы сами, как минимум странно. Никто нас не освобождал от кибергигиены.
Мы не рекомендуем сообщать о себе недостоверные сведения, например имейл: часто с этого адреса нужно подтвердить заказ, иначе его отменят. Советуем завести отдельную почту для некритичных ресурсов: заказов еды и прочего.
Нужно регулярно обновлять надежные пароли в личных кабинетах и на сервисах. Старайтесь не сообщать онлайн-сервисам слишком много данных о себе. Сейчас может появиться много фейковых ресурсов под брендами тех компаний, которые уходят с рынка, предлагая, например, распродажу остатков со склада. И получится странная ситуация: люди ввели данные, ничего не оплатили и заказ не получили. Создается впечатление, что пострадавших нет, раз никто деньги не потерял, но данные-то были собраны.
В-третьих, стоит завести для онлайн-заказов отдельную банковскую карту с небольшим количеством денег и отдельный почтовый ящик, на котором не будет никакой переписки. Заводить отдельную сим-карту сложнее, лучше со своей не отвечать на звонки с незнакомых номеров.
Тем, кто твердо знает, что его данные утекли, нужно обновить все пароли, проверить свои устройства антивирусами (лучше двумя-тремя) и понимать, что все ресурсы, которые привязаны к этим данным, могут пострадать. И обратиться в правоохранительные органы.
Чем больше мы будем сообщать об этом, тем бо́льшим будет опыт борьбы с киберкриминалом у правоохранительных органов, тем выше станет раскрываемость. Если вы нашли себя в этой базе данных, как минимум нельзя это замалчивать. Любое настоятельное требование трепетно относиться к данным и не пускать на самотек подобные инциденты дисциплинирует и поставщиков услуг, и правоохранительные органы.