Эксперт пояснил, почему из-за утечки «Яндекс.Еды», куда попали адреса клиентов, номера телефонов, электронная почта и суммы заказов за последние полгода, были возбуждены два уголовных дела, хотя по другим утечкам в этом году остальные компании, где произошёл инцидент, получали только административные штрафы до 100 тыс. рублей.
Эксперт в сфере информационной безопасности рассказал СМИ, что в основном утечки в российских компаниях происходят из-за проблем с уязвимостями в системах защиты, неправильной настройки серверов и систем хранения, в случае хакерских атак или инсайда с умышленными намерениями. По его мнению, в «Яндексе» произошло как раз последнее. В уголовных делах по этой утечке именно сотрудник компании (или группа лиц, причастных к инциденту), который совершил акт копирования и передачи данных клиентов третьим лицам, будет основным подозреваемым.
Уголовные дела по факту разглашения личных данных пользователей «Яндекс.Еды» возбуждены по трём статьям УК РФ: ч.1 ст.137 («Нарушение неприкосновенности частной жизни»), ч.3 ст.272 («Неправомерный доступ к компьютерной информации»); ч.2 ст.273 («Создание, использование и распространение вредоносных компьютерных программ»). Максимальным наказанием за эти правонарушения является лишение свободы на срок до пяти лет.
Представители «Яндекса» сообщили СМИ, что в курсе уголовных дел по утечке «Яндекс.Еды». В компании сотрудничают с правоохранительными органами по этой ситуации.
Юристы и представители IT-отрасли считают, что следствие потребует привлечь к ответственности за эту утечку специалиста компании. Но это будет только начало. После оглашения приговора по этим делам против «Яндекса» пострадавшие клиенты также смогут подать иски в Высший арбитражный суд против компании по статьям о нарушении неприкосновенности и предоставлении неправомерного доступа к информации. Тогда в качестве подозреваемых могут быть уже должностные лица компании, отвечающие за безопасность и конфиденциальность, если «Яндекс» не пойдёт на мировую по этим искам и не согласится выплатить компенсацию пострадавшим клиентам в досудебном порядке. В противном случае компании и её сотрудникам могут грозить значительные штрафы.
«Заявление о незаконном доступе злоумышленников к данным пользователей мы подали в правоохранительные органы сразу же, как нам стало известно об инциденте. После этого Следственный комитет возбудил уголовное дело по факту хищения данных по ст. 137 (нарушение неприкосновенности частной жизни), 272 (Неправомерный доступ к компьютерной информации), 273 (Создание, использование и распространение вредоносных компьютерных программ) УК РФ. В настоящее время продолжается расследование и поиск злоумышленников»,
— пояснили Хабру в «Яндексе».
Хронология по реагированию на утечку «Яндекс.Еды» со стороны компании и надзорных ведомств
В начале августа Следственный комитет РФ по запросу депутата Госдумы возбудил второе уголовное дело по факту разглашения личных данных пользователей и курьеров сервиса «Яндекс.Еда».
2 августа суд повторно оштрафовал «Яндекс.Еду» на 60 тыс. руб. за утечку персональных данных. Второе административное наказание было наложено за инцидент с утечкой информации о курьерах.
11 июля московский суд зарегистрировал протокол от Роскомнадзора на «Яндекс.Еду» по поводу утечки данных курьеров.
30 мая 2022 года Яндекс опроверг новую утечку данных и пояснил, что информация о курьерах сервиса доставки «Яндекс.Еда» утекла в конце февраля вместе с данными клиентов.
Первое уголовное дело по результатам проверки фактов утечки персональных данных пользователей сервиса «Яндекс.Еда» СК по тем же трём статьям УК РФ возбудил в конце апреля. Согласно пояснению депутата Госдумы, инициировавшего в СК РФ запрос по этой утечке. Следственные органы тогда начали комплекс следственных действий и оперативно-розыскных мероприятий, направленных на раскрытие указанных деяний и установление лиц, их совершивших.
21 апреля Мировой судья судебного участка района Замоскворечье в Москве оштрафовал на 60 тыс. рублей компанию «Яндекс.Еда» за утечку данных пользователей.
В марта в суд были поданы два коллективных иска на «Яндекс.Еду» из-за утечки персональных данных пользователей. В апреле исков уже стало три.
24 марта (спустя 26 дней после глобальной утечки данных) руководитель сервиса «Яндекс.Еда» Роман Маресов впервые пояснил ситуацию, прокомментировал инцидент и рассказал, что компания сделала не так и почему она так подвела пользователей.
23 марта Роскомнадзор сообщил о составлении протокола в отношении ООО «Яндекс.Еда» за нарушение законодательства в области персональных данных.
22 марта 2022 года в СМИ и различных телеграм-каналах появилась ссылка на сайт с интерактивной картой, на которой нанесены, согласно адресам, данные клиентов из утечки сервиса «Яндекс.Еда». На карте можно найти такие данные клиентов: ФИО, телефон, адрес вплоть до квартиры, электронную почту, суммарную трату в «Еде» за полгода. Яндекс пояснил, что это не новая утечка, а визуализация данных из утечки, произошедшей в конце февраля.
1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.
Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:
- имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
- номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
- полный адрес доставки клиента;
- комментарии к заказу;
- выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.
