Как проверить утечку базы данных яндекса

«Раскрыли ФИО, адреса, номера телефонов»: утечка базы данных пользователей «Яндекс. Еда» в марте 2022 – где посмотреть

В сети появилась информация о сливе данных сервиса «Яндекс. Еда» в марте 2022 года. Где и как можно посмотреть информацию? Правда ли произошла утечка данных?

Слив информации «Яндекс. Еда» – где можно посмотреть сейчас

На сайте Яндекс еда был сбой и произошла утечка базы данных. Некоторые сайты умудрились эти данные себе забрать, но все они уже заблокированы Роскомнадзором. Такие данные не для сети.

Сайт с украденными данными saverudata.org вчера работал, а сегодня уже заблокирован в РФ и в других странах. Впн не помогает.

Поэтому слитые данные вы уже не посмотрите. Единственное, что хочу порекомендовать, так это обратиться в тп Яндекс еды и попросить об удалении своих персональных данных, если вы там делали заказы. Они должны пойти вам навстречу. На ресурс Яндекс еды была совершена хакерская атака, вот так данные в сеть и утекли, но уже все заблокировано. Ведутся проверки.

В сети опубликовали личные данные пользователей сервиса «Яндекс. Еда»

В начале марта 2022 года служба безопасности «Яндекс. Еды» сообщила об утечке информации, которая произошла «в результате недобросовестных действий одного из сотрудников». В сети опубликовали телефоны клиентов и информацию об их заказах, включая сведения о потраченных деньгах.

22 марта в сети появилась интерактивная карта, на которой клиенты «Яндекс. Еды» могут себя найти.

Среди прочего, в обнародованной базе данных указываются адрес клиента, номер телефона, используемое устройство для оформления заказов и сумма, потраченная за полгода. Проверка DTF показала, что информация верна. Создатели сервиса также подготовили форму, которая позволяет проверить наличие в базе данных по номеру телефона или ФИО.

Авторы интерактивной карты написали, что желающие могут удалить свои данные из базы, обратившись к ним в службу поддержки. Однако позже выяснилось, что номер на сайте каждый раз случайным образом выбирается из «слитой» базы.

Ранее стало известно, что «Яндекс» планирует продать сервисы «Новости» и «Дзен», чтобы «сконцентрироваться на развитии поиска, технологий и городских сервисов» в связи с экономической ситуацией.

Интерактивная карта с данными клиентов – какую информацию слили

Пользователи обнаружили в интернете сайт с картой с данными клиентов «Яндекс. Еды». Об утечке, в результате которой в сети оказались телефоны клиентов и их адреса, компания сообщила 1 марта. На выложенной карте доступна информация о пользователях, сделавших заказы на более чем 58 000 адресов

22 марта корреспондент Forbes обнаружил свои данные, а также данные некоторых своих знакомых, использующиеся при заказе в сервисе «Яндекс. Еда» (Ф.И.О., адрес, номер телефона, адрес электронной почты, а также общую сумму заказов) на карте, выложенной на сайте, созданном, по данным Whois, 14 марта. Всего на карте доступны данные по 58 000 адресов, в том числе и о заказах, сделанных за пределами России. Данные доступны по клику на точку на карте или поиску (достаточно ввести номер телефона или фамилию), таким образом каждый желающий может увидеть номер телефона и адрес клиента «Яндекс. Еды», данные которого попали в сеть в результате утечки.

«После начала военной спецоперации России на Украине, в результате массовых кибер атак на веб ресурсы РФ множество личных данных было незаконно выложено в сеть. Мы публикуем базу с персональной информацией россиян, которой могут воспользоваться с целью запугивания и обмана. Вы можете проверить на карте какая информация есть у преступников, чтобы понимать риски. Предупрежден значит вооружен!», — говорится на сайте (орфография и пунктуация автора сохранены).

Создатели сайта указывают номер телефона, по которому можно обратиться, чтобы убрать обнаруженные о себе данные «со следующим обновлением сайта». При этом номер обновляется при каждом новом открытии страницы. Дозвониться ни по одному из номеров не удалось.

В сети опубликовали карту с данными клиентов сервиса «Яндекс. Еда» – последние новости

В «Яндексе» заявили, что после утечки данных, о которой компания оповестила пользователей 1 марта, новых подобных инцидентов не было.

22 марта несколько Telegram-каналов опубликовали ссылку на сайт с картой, где указаны более 58 тысяч адресов, использованных клиентами сервиса доставки «Яндекс. Еда». Среди слитой информации — адреса электронной почты пользователей, их номера телефонов, а также суммы, потраченные за последние шесть месяцев.

По словам представителей «Яндекса», новых утечек не было: в основе сайта лежит утечка данных пользователей, о которых «Яндекс» сообщил 1 марта. Тогда отмечалось, что утечка не коснулась банковских, платежных и регистрационных данных пользователей (логинов и паролей).

Позже ссылка на сайт с картой была удалена из Telegram-каналов, а сам ресурс перестал открываться у российских пользователей. «После начала военной спецоперации России на Украине, в результате массовых кибер атак на веб ресурсы РФ множество личных данных было незаконно выложено в сеть. Мы публикуем базу с персональной информацией россиян, которой могут воспользоваться с целью запугивания и обмана. Вы можете проверить на карте какая информация есть у преступников, чтобы понимать риски», — указано на сайте.

«Яндекс. Еда» – слив личных данных пользователей: как обезопасить себя

Недавно хакеры взломали сайт Яндекс. Еды и слили данные пользователей в открытый доступ — в интернет. На сайте доступен поиск человека по номеру телефона или даже по электронной почте, но самый интересный функционал заключается в самой карте. Можно посмотреть данные своих соседей, на какую сумму они заказывали в этом сервисе за последние 6 месяцев. Например, очень неожиданно было узнать, что один сосед умудрился заказать себе еды на 70 000 рублей, узнал его почту и номер телефона, даже этаж и квартиру.

«Ждите интернет-коллапс!»: правда ли, то в России отключат интернета в марте 2022 года – свежие новости об изоляции рунета →

«Яндекс. Еда»: клиенты приложения могут удалить личные данные

«Яндекс» в ближайшее время подключит сервис «Яндекс. Еда» к инструменту для управления данными, позволяющему отслеживать, какие сведения о пользователях накопили разные сервисы, и удалять их, сообщил в блоге компании руководитель «Яндекс. Еды» Роман Маресов.

Компания 1 марта сообщила, что недобросовестные действия сотрудника сервиса доставки «Яндекс. Еда» привели к утечке в интернет телефонов клиентов сервиса и информации об их заказах. По данным «Яндекса», утечка не коснулась банковских, платежных и регистрационных данных пользователей, то есть логинов и паролей.

«В скором времени мы подключим «Еду» к инструменту для управления данными, который «Яндекс» запустил в прошлом году. С его помощью можно посмотреть, какие данные о вас накопили разные сервисы, и при желании удалить их раз и навсегда», — сообщил Маресов.

Он отметил, что сервис свел к минимуму количество сотрудников, которые имеют доступ к приватным данным и уже переносит информацию в более защищенное хранилище. Система, через которую был получен доступ к данным, уже закрыта, проведен полный аудит безопасности.

«Об утечке мы узнали 28 февраля. Утёкшая информация — массив из нескольких миллионов строк, в которых содержались сведения о заказах из «Яндекс. Еды». Это адреса, номера телефонов, имена — в том виде, в каком они указаны в сервисе, — а также даты и время заказов. Утечки логинов, паролей и данных банковских карт не было, эта информация в безопасности», — добавил руководитель сервиса.

Злоумышленники запустили сайт с визуализацией 22 марта, данные пользователей «Яндекс. Еды» были привязаны к интерактивной карте. Как указывает Маресов, на сайте можно найти сведения, которых не было в массиве — ФИО и адреса электронной почты. «Это означает, что создатели сайта скомпоновали данные «Еды» с данными, утёкшими из других компаний», — добавил он.

«Мы добиваемся блокировки сайтов и каналов, которые публикуют данные. Мы связываемся с регистраторами и облачными хранилищами — чтобы разделегировать домены и удалить файлы с информацией о заказах. К 23 марта большинство провайдеров уже заблокировали ресурсы, которые распространяли утёкшую информацию, — они недоступны на территории РФ», — добавил гендиректор сервиса.

«Сетевые свободы» направит иск против сервиса «Яндекс. Еда»

23 марта проект «Сетевые свободы» объявил о начале организации юридической помощи пострадавшим пользователям и организует коллективный иск против «Яндекс.Еды» после массовой утечки данных клиентов.

«В Сеть слили данные пользователей «Яндекс. Еды». Если вы нашли себя в базе, обращайтесь на нашу горячую линию», – сообщают авторы проекта.

Проект «Сетевые Свободы» готов оказать помощь в привлечении сервиса к ответственности за то, что он не обеспечил надежное хранение массива чувствительной информации: «Понадобится доверенность, чтобы адвокат мог действовать от вашего имени. Мы не собираем личную информацию, поэтому ваши паспортные данные вы сообщите только адвокату, который будет работать по делу».

Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и следующие данные:

• имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
• номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
• полный адрес доставки клиента;
• комментарии к заказу.

Выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.

Минцифры предложило ввести наказание за утечку персональных данных

В феврале этого года Минцифры предложило ввести для операторов персональных данных многомиллионные оборотные штрафы за утечку персональных данных (ПД) российских пользователей. Эта мера должна привлечь внимание к их защите, а также заставить операторов ПД существенно усовершенствовать текущие меры защиты для предотвращения дальнейших утечек.

В настоящее время за утечку персональных данных очень маленькие штрафы, согласно ст.13.11 КоАП. Фактически операторы ПД сейчас ничем не рискуют, если потеряют базы данных тысячи пользователей. На них судом будет наложен штраф в несколько десятков тысяч рублей.

По сообщению Habr.com, в ноябре 2021 года суд оштрафовал Oriflame на 30 тыс. рублей за утечку персональных данных 1,5 млн российских клиентов, включая скан-копии их паспортов. Эксперты считают, что ущерб для пользователей от таких утечек может быть в сотни миллионов рублей — мошенники могут брать по документам из утечки микрозаймы, оформлять сим-карты или кошельки платежных систем и даже попытаться украсть деньги с банковских счетов пострадавших клиентов с помощью социальной инженерии.

Как обезопасить себя после слива информации из сервиса «Яндекс. Еда» – комментарии эксперта

Инженер-программист компании «Юнитесс» Владислав Голушко в четверг, 24 марта, рассказал «Известиям», как можно обезопасить себя после утечки данных из сервиса «Яндекс.Еда». По словам эксперта, главная опасность утечки, по мнению программиста, состоит в реакции компании «Яндекс», которая недостаточно активно препятствует распространению данных в Сети. Так, с момента утечки появились сервисы с данными пользователей.

«Злоумышленник буквально может посмотреть, где вы живете и сколько тратите на еду. Конечно, сервисы будут блокировать, но достаточно медленно. Чтобы полностью себя обезопасить, надо по-хорошему менять номер телефона и отвязать все свои карты от аккаунта в «Яндекс.Еде». И, соответственно, оплачивать услуги только наличными», — подчеркнул Голушко.

1 марта компания сообщила, что служба информационной безопасности «Яндекс.Еды» выявила утечку информации. База охватывает всю территорию РФ и некоторые другие страны, среди которых Белоруссия и Казахстан. В результате недобросовестных действий одного из сотрудников были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки. Утечка не коснулась банковских, платежных и регистрационных данных пользователей, то есть логинов и паролей.

По итогам внутренней проверки «Яндекс» ужесточил подход к хранению информации, в том числе связанной с заказами, и обещал обеспечить ей уровень защиты, сопоставимый с уровнем защиты платежной информации, логинов и паролей. По информации пресс-службы, все пользователи были уведомлены об утечке данных, компания также обратилась в правоохранительные органы.

Правда ли, что произошла утечка базы данных СДЭК – последние новости

25 февраля 2022 года на форуме raidforums.com появилась информации об утечке базы данных клиентов СДЭК. Далее цитата из телеграмм канала:

Вчера (25.02.22) была опубликована база данных СДЭК на raidforums.com который являлся крупнейшим форумом, на котором размещались различные утечки информации (Базы данных). В данный момент домен и возможно сервера форума были арестованы, сейчас там размещена страница входа, к которой администрация форума не имеет отношения и доступа, в чате они попросили сменить пароли, когда форум заработает на основном домене.

Содержание поста о сливе СДЭК’а было такое: ««СДЭК» — российский оператор экспресс-доставки документов и грузов, основанный в 2000 году как помощник в доставке товаров интернет-магазина Korzina.ru по Сибирскому Федеральному округу. Однако вскоре интернет-проект закрылся, а логистический оператор развился до федерального игрока».

Это не полная база, в ней нет адресов доставки, возможно она будет опубликована в ближайшее время.

Известно, что архив самой БД весит 30Гб. Подтвердить, что это данные СДЭК еще предстоит, но сообщают, что данные в базе верные. База состоит из двух файлов, на 466 млн. строк и на 822 млн. строк.

Код в мешке: что мы узнали из утечки данных «Яндекса» и к чему она приведет

В четверг, 26 января, стало известно, что в интернете появились исходные коды и сопутствующие им данные множества сервисов и программ «Яндекса». Общий размер данных составляет около 45 ГБ в сжатом виде, речь об исходниках очень многих продуктов компании — от «Почты» и «Такси» до «Диска» и Алисы. Насколько это серьезный удар для компании и чем это грозит пользователям — разбирался Forbes

Событие

На то, что случилась утечка, одним из первых обратил внимание пользователь Twitter Dmitry Balakov. Как рассказал Forbes технический директор Hack The Publisher Арсений Шестаков, листая ленту Twitter, он наткнулся на его сообщение и проверил информацию об утечке на сайте BreachForums. «Стало интересно, являются ли эти данные настоящими. Спросил об этом у знакомого, до 2022 года работавшего в «Яндексе», и он, проверив архивы, подтвердил мне эту информацию. Новостей об утечке в тот момент не было», — говорит он. По словам Шестакова, он решил подготовить полноценный блогпост для англоязычной аудитории, но немного опоздал, так как к этому времени другой пользователь уже разместил на Hacker News пост об утечке.

Что утекло

В открытом доступе оказались часть приватных репозиториев компании и исходный код массы значимых сервисов «Яндекса». Среди них — Search Engine and Indexing Bot, «Карты», «Такси», «Директ», «Почта», «Диск», «Маркет», «Путешествия», «Яндекс360», Yandex Cloud, платежный сервис Yandex Pay, поиск, а также списки фраз, которыми пользователи выключают голосового помощника «Алиса», перечисляет руководитель отдела анализа и оценки цифровых угроз Infosecurity a Softline Company Константин Мельников.

«Объем оказавшегося в открытом доступе кода огромный — 44 ГБ, поэтому наверняка мы будем постепенно встречать новые разборы тех или иных модулей. Энтузиасты постепенно будут разбирать и анализировать код конкретных продуктов Яндекса», — рассуждает технический директор IT-компании HFLabs Никита Назаров. «В «Яндексе» изначально заявили о «фрагментах кода», что далеко от правды. Можно точно сказать, что опубликована значительная часть серверного кода сервисов компании», — продолжает Шестаков.

Материал по теме

В архиве содержится только состояние кода на неизвестную дату, всем файлам принудительно выставлена дата последней модификации — 24.02.2022, но по косвенным признакам можно сказать, что самые поздние изменения внесены в конце июля 2022 года, говорит Никита Назаров: «В архиве нет истории изменений, нет обученных моделей, нет справочников, нет баз данных пользователей и их паролей. Собрать этот код и запустить собственное «Яндекс.Такси» не выйдет — хотя бы потому, что не хватает разных внутренних библиотек, которые в слив не попали».

По словам экс-директора по распространению технологий «Яндекса» Григория Бакунова, данные довольно бесполезны, но подходят для изучения кода. «Во-первых, попробуйте хоть что-то оттуда собрать, это очень неочевидно и часто требует внутренней инфраструктуры «Яндекса», — пишет он в своем Telegram-канале. — Во-вторых, для ИИ-проектов нет самого главного — натренированных весов, то есть модель, которая у вас получится после сборки, просто не обучена. Датасета для обучения тоже нет. Это, безусловно, не взлом, а слив кого-то из сотрудников».

Что говорят в «Яндексе»

В пресс-службе «Яндекса» Forbes подтвердили факт утечки кода, подчеркнув, что «никакого взлома не было». «Служба безопасности «Яндекса» обнаружила в открытом доступе фрагменты кода из внутреннего репозитория. Однако их содержимое отличается от текущей версии репозитория, которая используется в сервисах «Яндекса», — отметили в компании.

Там также указали, что репозитории «не предназначены для хранения персональных данных пользователей». «Мы проводим внутреннее расследование о причинах попадания фрагментов исходного кода в открытый доступ, но не видим какой-либо угрозы для данных наших пользователей или работоспособности платформы», — заверили в пресс-службе.

Источник Forbes, близкий к «Яндексу», подтвердил, что в сливе исходного кода не участвовало «никаких хакеров». «Речь об одном из сотрудников», — пояснил он.

Материал по теме

Несмотря на заверения «Яндекса» и предположения, что утечку организовал один из сотрудников, есть и другие мнения. По словам руководителя департамента информационно-аналитических исследований компании T.Hunter Игоря Бедерова, первоисточник утечки был размещен на тематическом форуме пользователем под ником borderline. Он написал, что взлом произошел еще в июле 2022 года и впервые опубликован «сегодня». Этого пользователя Игорь Бедеров связывает с хакерской группировкой, совершившей, по его словам, 80% всех взломов с утечками личных данных пользователей в России.

Чем утечка грозит компании и ее пользователям

Непосредственной угрозы пользовательским данным утечка исходного кода действительно не несет, согласен Арсений Шестаков. «При этом доступ к исходникам упростит атаки на инфраструктуру компании в будущем. Также стоит ожидать большего количества фишинговых атак, когда преступники выдают свои сайты за сайты «Яндекса», — полагает он.

Скомпрометированы оказались патенты, разработки, ноу-хау «Яндекса», считает Игорь Бедеров. Кроме того, можно изучить, как де-факто устроен сервис, например, выяснить, как «Яндекс» следит за пользователями умного помощника Алисы и есть ли тут расхождение с пользовательским соглашением компании — утечка содержит текстовый вариант голосовых запросов и пассивного сбора информации, говорит он.

Подобного рода утечки могут привести к эксплуатации неизвестных уязвимостей, размышляет источник Forbes в крупной ИБ-компании. Например, злоумышленники, по его мнению, получив этот код, могут найти слабые места, не сообщить о них в пострадавшую от утечки компанию, а начать писать эксплойт (программный код или набор инструкций, который позволяет использовать уязвимость для проведения атаки) и, например, получить доступ к информации пользователей. Или же попасть внутрь компании, провести шифрование данных, слить данные в паблик, распространить вредоносное ПО. «В коде, скорее всего, есть логины и пароли, которые «Яндекс», если это правда, сейчас пытается экстренно закрыть, но если злоумышленники смогут их найти, то смогут их также слить, украсть, зашифровать и закрепиться в системе», — заключает он.

Материал по теме

Также, по информации источников Forbes на рынке кибербезопасности, утекли некоторые инструменты безопасности — плагины для пентестеровских утилит, которые «Яндекс» писал сам. Используя эти плагины, злоумышленники смогут провести атаки. «Если резюмировать, в явном виде новых угроз пользователям эта утечка не несет, но она, безусловно, открывает новые возможности для злоумышленников, — уверен собеседник Forbes в крупной ИБ-компании. — Теперь искать уязвимости в сервисах «Яндекса» станет проще, поэтому теперь их взлом — лишь вопрос времени».

Утечка внутренних репозиториев
угрожает потерей важных алгоритмов работы сервисов «Яндекса», говорит
Константин Мельников. Эти алгоритмы, по его мнению, могут быть использованы для
модификации имеющихся приложений или создания иных алгоритмов, позволяющих
обходить блокировки сервиса, а также для построения приложений или сервисов на
основе исходников «Яндекса». «Есть пока ничем не подтвержденное предположение,
что, если изучить все данные, можно понять, как работают вышеперечисленные
сервисы и, например, почему повышается цена на такси, а на «Маркете» — на товар».

Впрочем, пока это только возможность понять внутреннее устройство, и вряд ли злоумышленники смогут воспользоваться этим без доступа внутрь, разве что для попыток взлома и применения социальной инженерии, рассуждает собеседник на рынке ИБ. На данный момент, по его словам, риски в основном носят репутационный характер: «Подобные инциденты случаются нередко, просто не обо всех из них становится известно в публичном поле. Остается вопрос, насколько успешно компания закрыла доступы к внутренним серверам, ключам и т.д.».

Что делать, если мои персональные данные попали в открытый доступ после утечки?

Еще несколько месяцев назад я обнаружил свой адрес, номер телефона и историю заказов на карте утечки сведений о пользователях «Яндекс-еды» . Особых мер я не принимал.

Но недавно мои данные снова оказались в сети, уже после утечки с другого сервиса. Что вообще делать после этого? Как следить, куда попадает информация обо мне? Слышал, собирают коллективные иски — может, мне присоединиться?

нашел себя в сливах интернет-компаний

К сожалению, вопрос утечки персональных данных встает перед жителями России острее с каждым месяцем. По оценкам Роскомнадзора, с начала 2022 года произошло уже более 40 крупных утечек баз с персональными данными россиян. Пожалуй, самая заметная — как раз утечка данных клиентов «Яндекс-еды» . Тогда злоумышленники еще и опубликовали всю информацию на сайте — имена, адреса и номера телефонов можно было посмотреть на интерактивной карте.

Схема простая: чем больше мы сидим в интернете, тем больше отдаем данных сервисам и компаниям и тем выше риски, что эта информация всплывет в очередной утечке. Расскажу, как не пропустить момент, когда сведения о вас оказались в открытом доступе, что делать после этого и как обезопасить себя от дальнейших сливов.

Какие масштабы проблемы

С каждым годом масштабы утечек растут, в том числе и в России. По данным аналитической фирмы InfoWatch, в РФ только за первое полугодие утекли 305 баз данных, что почти на 50% больше, чем за тот же период 2021 года. Объем похищенной информации увеличился в 16 раз и достиг более 187 млн записей — в этом результаты InfoWatch расходятся с Роскомнадзором. Россия занимает второе место в мире по объемам утечек данных в сети — выше только США.

По данным Group-IB, в 2022 году количество утечек в России растет каждый месяц. В мае и начале июня в даркнете обнаружили рекордное количество баз данных российских компаний — более 50. Для сравнения: в апреле их было 32, а в марте — всего 16.

Если называть конкретные компании: в конце февраля 2022 года стало известно об утечке данных клиентов СДЭК, в марте — «Яндекс-еды» , в мае — «Деливери-клаба» , в июне — GeekBrains и «Ростелекома», в июле — «Гемотеста», в августе — «Теле-2» .

Какие данные наиболее подвержены утечке

Утекшие данные соцсети будут значительно отличаться от информации из интернет-магазина или службы доставки. А еще часть слитых данных могут оказаться обезличенными: к примеру, у злоумышленников оказывается ваш пароль, а к какому аккаунту он подходит — непонятно. В других случаях данные могут попасть к мошенникам в зашифрованном виде.

• связка «логин-пароль»;
• адрес электронной почты;
• номер телефона;
• адрес, место работы;
• данные о подключенных устройствах;
• дата рождения;
• пол, возраст, рост, вес;
• платежные данные;
• архив сообщений;
• история покупок.

Отдельная утечка может практически не коснуться вас — злоумышленники узнают, к примеру, только логин в сервисе, и ничего с этим не смогут сделать. Но чем больше утечек, тем выше вероятность появления «обогащенной» базы данных. Так говорят, когда из нескольких разных слитых баз составляют одну большую и подробную.

Например, сама по себе утечка «Яндекс-еды» и так была крупная. А затем ее дополнили данными из ГИБДД, «Авито», «Деливери-клаба» , ВТБ, «Вайлдберриз», «Вконтакте», «Пикабу» и других источников. Так уже можно сформировать портрет конкретного пользователя, чтобы потом атаковать его.

Самая очевидная опасность исходит от сливов банковских данных — их могут использовать мошенники довольно понятным способом. Однако, согласно отчету InfoWatch за 2021 год, платежная информация почти не попадает в сливы — на нее приходится 0,4% от всех утечек. Почти 90% — категория «персональные данные».

ПАРТНЕРСКИЙ МАТЕРИАЛ
Я заработала 100 000 рублей на Tinkoff Black
Узнайте, как повторить этот опыт и оформить карту

Хочу знать

Как проверить, скомпрометированы ли ваши данные

Сайт Have i been pwned? — его еще в 2013 году основал консультант по веб-безопасности Трой Хант. Сервис отслеживает и коллекционирует утечки данных и позволяет проверить, скомпрометированы ли ваши аккаунты. Просто введите адрес электронной почты или номер телефона — сайт не только подскажет, были ли ваши данные в известных утечках, но и укажет источник слива.

Have i been pwned? — самый авторитетный тематический ресурс с данными о сотнях взломанных сайтов. Периодически Трою Ханту информацию об утечках передают правоохранительные органы США, Британии и других стран.

В разделе Notify Me можно оставить адрес почты — вам придет письмо, если аккаунт окажется скомпрометирован.

Из минусов — на Have i been pwned? не всегда попадают утечки с российских сайтов и сервисов. Если речь идет о российском профиле, то лучше вводить адрес электронной почты, а не номер.

Проверка сразу же показала, что мой адрес электронной почты засветился в масштабной утечке Canva

Менеджеры паролей обычно помогают не только безопасно хранить пароли, но и отслеживать, попали ли они в какую-то из утечек данных. Такая функция есть, например, у сервисов 1Password, Keeper и Dashlane.

Встроенные инструменты браузеров. Они есть почти во всех современных браузерах. Вот некоторые примеры.

Firefox Monitor поможет узнать, была ли скомпрометирована ваша приватная информация. Чтобы включить инструмент, щелкните по иконке щита рядом с адресной строкой и выберите «Панель состояния защиты» → «Следите за утечками данных» → «Подпишитесь на оповещения об утечках».

Firefox Monitor берет данные из базы Have i been pwned?. Если не пользуетесь браузером от Mozilla, то не проблема — сервис доступен и без этого.

В разделе «Утечки» можно посмотреть, из каких сервисов недавно сливались данные

У Safari есть настройка отслеживания утечки паролей. Зайдите в настройки браузера → пароли. Убедитесь, что стоит галочка у пункта «Выявлять украденные пароли». Если один из них окажется в утечке — вам придет уведомление.

В Google Chrome тоже есть встроенная проверка уязвимостей. Перейдите в настройки → «Конфиденциальность и безопасность» → «Проверка безопасности». Там можно проверить безопасность паролей, защиту от потенциально опасных расширений и обновиться до актуальной версии браузера.

Так я узнал, что на одном сайте мой пароль все же оказался скомпрометирован

Что делать, если оказались в слитой базе данных

Проверьте достоверность утечки. Все чаще объявления об утечке данных используют мошенники для фишинга: они присылают панические сообщения о скомпрометированных данных и побуждают действовать на эмоциях. Главное — успокоиться и оценить ситуацию.

Часто компании, пусть и с задержкой, но сами признают факт утечки — сообщают о ней на своем сайте или в рассылке. Либо же о них пишут авторитетные СМИ. Ориентируйтесь на официальные источники.

Оцените, какие именно данные скомпрометированы. От этого зависит, какие именно действия предпринимать. Одно дело — просто попавший в публичное поле адрес электронной почты или даже номер телефона. Совсем другое — платежные данные или физический адрес с подробностями.

Если слитой базы данных нет в публичном доступе — например, ее продают в даркнете — то оцените риски самостоятельно. В случае с «Яндекс-едой» или СДЭК вы, вероятно, понимаете, что указывали при заполнении профиля или оформлении доставки.

Еще один способ — посмотрите активность в скомпрометированных аккаунтах. Приходили ли вам непонятные письма на электронную почту? Пытается ли кто-то авторизоваться с помощью вашего номера телефона? Хочет ли кто-то оформить перевод средств с вашей карты? Вероятно, вы увидите следы этого в приложениях и с помощью уведомлений.

Еще важно узнать, насколько актуальные данные в утечке. Чем старее слитая база — тем меньше опасности для вас, особенно если вы регулярно меняете пароли.

Не вводите свои данные в сторонние сервисы проверки. Некоторые масштабные утечки сопровождаются публикацией клиентской базы в наглядном виде, как это было в случае с «Яндексом». Многие тут же решали проверить на сайте, попали ли их данные в общий список — и вводили свои имена и номера телефонов. Лучше этого не делать: таким образом злоумышленники могут только пополнить свой каталог или подтвердить актуальность полученной информации.

Так выглядела интерактивная карта с утечкой «Яндекс⁠-⁠еды». В таких случаях безопаснее не вводить данные, а самому найти свой адрес по памяти

Приготовьтесь к наплыву мошенников. После попадания в открытый доступ номеров телефонов и личной информации ожидайте волны звонков или писем якобы из банков, правоохранительных органов и прочих учреждений.

В такой ситуации рекомендации не отличаются от уже привычных мер предосторожности: скептически относитесь к любым звонкам, не делитесь дополнительной информацией по телефону. Если звонки злоумышленников не прекращаются, скорее всего, придется поменять номер телефона. У нас есть курс «Как защититься от мошенников» — там можно найти подробные рекомендации и советы.

Иногда хакеры предлагают удалить опубликованные данные за определенную плату. Полагаться на добросовестность мошенников не стоит. Тем более что даже если они выполнят обещание, данные уже могли скопировать другие пользователи, а сама база — оказаться на «черном» рынке или стать основной для «обогащения». В этом случае вы и деньги потеряете, и данные не защитите.

Смените пароли — не только для профилей, попавших в утечку. Вполне вероятно, что вы не придумываете уникальные пароли для каждого сервиса, а используете ротацию из нескольких, которые помните и считаете надежными. В таком случае лучше сменить все совпадающие пароли, а не обойтись одним профилем.

Проверить, насколько уникальные пароли вы используете, можно, к примеру, в диспетчере паролей Google Chrome.

Если утечка затронула банковские данные — заморозьте счета. Если хакеры получили доступ к банковским данным, это лучший выход. Однако если утечка произошла внутри банка, он, скорее всего, сам примет меры — узнать об этом можно в том же официальном сообщении или в службе клиентской поддержки.

Что с наказанием за утечку персональных данных

По российским законам, компании ответственны за утечку персональных данных, но наказание за это не очень большое. Часть 1 статьи 13.11 КоАП РФ предусматривает штраф от 60 до 100 тысяч рублей.

Минцифры хочет пересмотреть размер штрафов за утечку персональных данных. Летом 2022 года ведомство предложило такой вариант: за первую утечку — фиксированная сумма штрафа, которая зависит от масштабов слива. При повторной утечке — оборотный штраф.

Также клиенты могут объединиться и подать коллективный иск, чтобы потребовать компенсацию от компании. Такие подали к «Яндекс-еде» и СДЭК — в обоих случаях заявители потребовали 100 тысяч рублей каждому. По мнению юристов, у пользователей есть шансы выиграть дело, но они могут получить гораздо меньшую компенсацию. Так что большого смысла присоединяться к подобным искам нет.

Как обезопасить себя от дальнейших утечек данных

Соблюдайте стандартные меры предосторожности. Эти советы знают почти все: используйте разные пароли для разных аккаунтов, убедитесь, что они достаточно сложные, своевременно обновляйте приложения и сервисы — разработчики регулярно совершенствуют системы безопасности и исправляют предыдущие критичные ошибки.

Включите двухфакторную аутентификацию везде, где это возможно. По возможности пользуйтесь не дополнительной проверкой по номеру телефона, а другими способами — например, Google Authenticator. Такой вариант более защищенный — коды генерации хранятся на вашем устройстве, а коды по смс гораздо легче перехватить.

Google Authenticator генерирует уникальные временные коды для авторизации на сайте или в соцсети. Источник: play.google.com

Скройте реальный адрес электронной почты. Адрес сливается чаще всего — его указывают при авторизации, вместо логина или для подписки на уведомления. Но есть несколько способов сделать публикацию имейла безопаснее.

Самый очевидный — заведите почту только для взаимодействия с конкретными сервисами. Более продвинутый вариант — пользуйтесь анонимайзерами или «одноразовыми» почтовыми ящиками вроде генераторов 10 Minute Mail (работает с VPN) и TrashMail.

Альтернатива для пользователей техники Apple — авторизация с помощью кнопки «Вход с Apple». В этом случае сайты получают только имя и адрес электронной почты, который можно скрыть. Для этого генерируется уникальный случайный адрес электронной почты — уже с него сообщения пересылаются на ваш реальный адрес. Сторонние анонимайзеры работают по схожему принципу.

В таком случае при утечках раскроется не ваш реальный адрес, а сгенерированный — для мошенников это практически бесполезно

Минимизируйте свой «цифровой след». Чем меньше вы отдаете данных — тем меньше информации попадет в потенциальную утечку. Проще всего сократить количество персональных данных, которые вы предоставляете сервису. Не подписывайтесь реальным именем, не оставляйте номер телефона, если он не требуется. Закажите доставку еды или других товаров не на точный реальный адрес проживания, а до ближайшего пункта самовывоза или только к подъезду.

Если использовать разные номера телефонов и аккаунты, а также не указывать часть информации о себе, вы жертвуете удобством экосистемы крупных компаний. Однако в этом случае каждый должен определить, что ему важнее — комфорт при использовании сервиса или снижение рисков в случае масштабных утечек.

Вы в любом случае ни от чего не застрахованы. Можно принять любые средства предосторожности, но все равно стать жертвой утечки. В первую очередь, потому что она происходит не на вашей стороне, а на стороне компании, которой доверяете данные. В интернете крайне сложно вообще не «отсвечивать»: вы все равно авторизуетесь под настоящими именем и фамилией, оставите реальный адрес почты, закажете товар на домашний адрес, где-то промелькнет номер телефона.

Помните, что в утечке вы — одна строка из миллионов похожих. Это все еще серьезно, но, вероятнее всего, поправимо. Особенно если вы не медийная личность. Главное — вовремя среагировать на ситуацию, оценить актуальность данных и защититься от последствий.

Опять утечка данных? Телефоны, имена и пароли 1,2 млн курьеров Яндекс.Еды и Delivery Club в открытом доступе

В представленных несколькими Telegram-каналами базах содержатся ФИО курьеров, пароли от аккаунтов (в зашифрованном виде) и номера телефонов. Всего более 700 тыс. строк с информацией о курьерах Яндекс Еды и более полумиллиона строк – с данными курьеров Delivery Club. Пресс-служба Delivery Club уже сообщила о проведении проверки по факту возможной утечки данных о курьерах. «Актуальность данных и их принадлежность курьерам требует проверки, наша служба безопасности занимается этим вопросом», – прокомментировали в компании. В Яндекс Еде рассказали, что речь о той же утечке, о которой стало известно 1 марта: «Наша служба безопасности изучила фрагмент опубликованной базы и подтвердила, что данные о партнерах, которые доставляют заказы, оказалась в руках злоумышленников одновременно с данными о заказах. Новых инцидентов мы не фиксировали.

• Новый закон на подходе: утечки данных клиентов обойдутся компаниям очень дорого
• Яндекс.Еда разрешит пользователям удалять личные данные: все из-за недавней утечки
• Волна утечек персональных данных с российских сервисов продолжается: теперь Delivery Club
• У Яндекс.Еды утечка: информация о заказах пользователей с личными данными попала в Сеть
• Новая утечка данных клиентов «Яндекс. Еды»? Сам сервис говорит, что это последствия известного февральского инцидента
• На карту с утечками из Яндекс Еды добавили данные, украденные из других сервисов – от Avito до «Билайна»
• Суд оштрафовал Яндекс.Еду за февральскую утечку данных клиентов. Но не сильно
• Россияне готовы предоставлять бизнесу персональные данные – если будет лучше сервис и не будет утечек

Интересная новость? А ведь новости гораздо удобнее отслеживать в Telegram. Подпишитесь на наш Telegram-канал вот по этой ссылке. И вы будете и читать, и получать все самое важное наиболее удобным способом.