В свободном доступе выложили архив сервиса «Яндекс.Еда» с данными заказов клиентов, «Яндекс» ранее подтвердил утечку
По информации Telegram-канала «Утечки информации», в свободном доступе появился архив сервиса «Яндекс.Еда» с данными заказов клиентов. «Яндекс» ранее подтвердил факт утечки, но не раскрывал ее детали.
Согласно данным по утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:
- имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
- номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
- полный адрес доставки клиента;
- комментарии к заказу;
- выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.
Пример выгрузки из утекшей базы данных сервиса «Яндекс.Еда».
1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников.
По данным службы, в результате утечки в сети были опубликованы телефонные номера клиентов и информация об их заказах, в том числе состав и время доставки. В компании уверяют, что в утёкшей информации не содержались банковские платёжные или регистрационные данные пользователей сервиса; эта информация в безопасности, утверждают в «Яндексе».
В компании рассказали, что провели внутреннюю проверку. По её результатам был ужесточён подход к хранению чувствительной информации, в том числе, связанной с заказами клиентов. Компания уверяет, что предоставила этим данным необходимый уровень защиты, который сопоставим с уровнем защиты платёжных сведений. Кроме того, в сервисе исключат обработку такой информации вручную и втрое сократят число работников, которые имеют к ней доступ.
Команда «Яндекс.Еды» принесла извинения пользователям и пообещала, что отправит письмо с подробностями всем, кого коснулась утечка. В отношении провинившегося сотрудника «Яндекс» обещает принять законные меры. Компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к информации о клиентах, говорится в пресс-релизе на сайте «Яндекса».
- Информационная безопасность
- Социальные сети и сообщества
- IT-компании
Сайт с утечками Яндекс еды аккумулировал в себе целый ряд утечек
В обновленной версии содержится интерактивная карта с адресами клиентов Яндекс.Еда, Суши Мастер, Wildberries, Pikabu, CDEK, Delivery Club и ГИБДД. Напомним в начале марта в свободном доступе появился архив сервиса «Яндекс.Еда» с данными заказов клиентов. «Яндекс» ранее подтвердил факт утечки, но не раскрывал ее детали. 23 марта неизвестными лицами слитые личные данные «Яндекс.Еды» оформлены в интерактивную карту. Любой желающий мог узнать личную информацию о клиентах платформы: имя, номер телефона и даже адрес. По результатам проверки фактов утечки персональных данных пользователей сервиса «Яндекс.Еда» суд оштрафовал Яндекс на 60 тысяч рублей (примерно по 0.009 руб за пользователя), однако позже следственный комитет РФ возбудил уголовное дело по факту утечки данных пользователей «Яндекс.Еды» по признакам составов преступлений, предусмотренных частью 1 статьи 137 («Нарушение неприкосновенности частной жизни»), частью 3 статьи 272 («Неправомерный доступ к компьютерной информации») и частью 2 статьи 273 («Создание, использование и распространение вредоносных компьютерных программ») Уголовного кодекса Российской Федерации.
Теперь по адресу можно узнать номер телефона, модель автомобиля и его госномер, дату и меcто рождения, паспортные данные, профили в Facebook и вконтакте и множество другой персональной информации, включая заказы в утекших базах данных и модель используемого мобильного устройства. Несмотря на то что сайт заблокирован на территории РФ, он продолжает работать и на интерактивной карте появляются новые данные пользователей из различных утечек, произошедших в последнее время. Также на сайте размещены инструкции, позволяющие любому поднять на своем компьютере интерактивное зеркало утечек.
Ваш провайдер знает о вас больше, чем ваша девушка? Присоединяйтесь и узнайте, как это остановить!
«Яндекс» сообщил об утечке из хранилища данных с кодом проектов
В Сеть утекли исходные коды для части сервисов «Яндекса», все они датированы 24 февраля 2022 года. Компания утверждает, что утекла неактуальная версия кода, а данные клиентов сервисов «Яндекса» не затронуты
Фото: Владислав Шатило / РБК
Служба безопасности «Яндекса» обнаружила в открытом доступе фрагменты кода из внутреннего репозитория (хранилища кода), сообщил РБК представитель компании. Однако, по его словам, содержимое утечки отличается от той версии кода, которая сейчас используется в сервисах «Яндекса». «Репозитории нужны для работы с кодом и не предназначены для хранения персональных данных пользователей. Мы проводим внутреннее расследование о причинах попадания фрагментов исходного кода в открытый доступ, но не видим какой-либо угрозы для данных наших пользователей или работоспособности платформы», — сообщил представитель компании. По его словам, «никакого взлома» репозитория не было. Источник РБК, близкий к компании, сообщил, что речь идет о действиях сотрудника, а не о хакерской атаке.
Об утечке 45 Гб исходных кодов и сопутствующих им данных сервисов и программ «Яндекса» сообщал ИТ-ресурс «Хабр». По данным портала, архив появился в Сети 25 января.
Он содержит отдельные архивы данных, по названиям которых можно идентифицировать соответствующие сервисы «Яндекса» (frontend, classfields, market, taxi, portal и др.). Датированы все слитые файлы 24 февраля 2022 года.
1 марта 2022 года «Яндекс» сообщал об утечке данных сервиса «Яндекс.Еда». По данным компании, в Сеть в результате недобросовестных действий одного из сотрудников попали телефоны клиентов и информация об их заказах. Сервис тогда заверил, что утечка не коснулась банковских, платежных и регистрационных данных пользователей (логинов и паролей). В августе Следственный комитет возбудил уголовное дело по статьям о нарушении неприкосновенности и неправомерного доступа к информации.
Утечка данных в сервисе «Яндекс.Еда» — проблема личных данных
Никто из компаний не защищен от утечки данных, которая может случиться из-за человеческого фактора, когда сотрудник компании пренебрегает своими обязанностями или вовсе действует злонамеренно. Корпорации выставляют несколько уровней защиты, стараются обезопасить себя и свои данные, но никогда защита не может быть стопроцентной. Тут важно понимать, насколько компания прикладывает усилия по защите данных — как своих, так и пользовательских. Зачастую понять это можно только постфактум, когда грянул гром и данные оказались в свободном доступе.
Одной из самых громких утечек пользовательских данных можно считать таковую в сервисе «Яндекс.Еда», она случилась в конце февраля, а 1 марта компания сообщила об этом десяткам тысяч пользователей в письме. Я один из тех, кто это письмо получил.
На примере этого инцидента можно рассмотреть, как реагировал «Яндекс» и как можно было обыграть эту ситуацию. Забегая вперед, скажу, что в «Яндексе» привычно решили сделать вид, что проблемы не существует, и постараться быстрее о ней забыть. Получилось как минимум плохо, и эта история будет догонять компанию еще долгие годы. Попробуем разобраться в том, что случилось, и в том, что «Яндекс» сделал, а главное, чего он не сделал. Это будет полезно для всех, кто попадет в такой оборот, возможно, негативный опыт «Яндекса» научит, как вести себя в подобных ситуациях.
Никто не застрахован от проблем, и тут важно, как компания реагирует на это, что рассказывает, почему имеют значение слова и действия. В «Яндексе» сообщили об утечке только в момент, когда об этом стало известно СМИ, тут не было никакой работы на упреждение. И это выглядит как заметание неприятной информации под коврик: а вдруг никто не заметит?
Работая с данными, я всегда стараюсь сохранить точность формулировок, и письмо, которое я получил от «Яндекса», выглядит странным. В нем утверждается, что в интернет “попали номера телефонов наших клиентов” и тут же “утечка не коснулась банковских и платёжных данных, логинов и паролей”. Любой клиент, который пользуется сервисами «Яндекса», в курсе, что ваш номер телефона выступает как логин в этих сервисах. Мелочь, казалось бы, но хорошо характеризует подход компании, которая не заботится о деталях. Такие мелкие оговорки зачастую многое говорят об общей картине. С другой стороны, то, что в «Яндексе» очень слабый PR, давно стало притчей, он номинально существует, в реальности толпа пиарщиков пасует перед любой мало-мальски сложной задачей. Да что там сложной, даже довольно обыденные вещи вызывают оторопь, например, ответ на запрос комментария — ему даже могли “по ошибке” присвоить номер обращения и направить журналиста на автоматизированную систему помощи клиентам. Это смешно и грустно одновременно. Проблема там выросла из обратной ситуации: отчаявшиеся клиенты, которые не могли получить поддержку от «Яндекса», начинали писать на все найденные адреса, в первую очередь в PR, отсюда необходимость завести все запросы в автоматическую систему ответов.
С 1 марта прошло три недели, но больше «Яндекс» на тему утечки ничего не комментировал. Хотя за эти недели появилось энное количество ресурсов, на которых данные обработаны в удобном виде, есть карта, на которой можно посмотреть адреса, количество потраченных денег за прошедший год, узнать имя и фамилию человека, номер его телефона, полный адрес и, возможно, код от домофона плюс дополнительную информацию.
Заказы и описание блюд, которые вы покупали, при этом не выводятся, но в дампе базы данных эти сведения также содержатся. Из них можно сделать выводы о том, что вы любите есть, как много еды заказываете и на какое число человек по числу заказанных приборов.
Развлекался тем, что смотрел, что заказывают мои соседи, на какие суммы, делился с ними информацией в разговорах, что вызывало у них шоковое состояние — письмо от «Яндекса» практически все проигнорировали и не увидели. А те, кто увидел, не придали значения, так как не посчитали чем-то важным.