Comments 175
Либо у яндекса серьёзные траблы с информационной безопасностью, либо кто-то на очень высоком посту захотел этой утечки.
Я работал в одной фирме, и там даже генеральный директор получал разрешение на доступ через систему тикетов. Действия любого админа и руководителя логировались и отправлялись аутсорс-безопасникам.
Знаем такое, при всем при этом где-то торчит тестовый или не очень эндпоинт который раздаёт всю инфу по инкрементальному id. От этого к сожалению не всегда спасаю строгие политики.
В прошлом посте в комментах злые языки утверждали, что в Яндексе с информационной безопасностью никак.
Мотороллер не мой...
Продолжаю утверждать, что минимум в одном проекте, родственном Еде, персданные клиентов были доступны каждому второму разработчику.
О чём там можно говорить когда на собеседовании по ИБ в основном спрашивают про администрирование ОС и сетевого оборудования (наверное что знают, то и спрашивают), да о том, как бы правельнее опечатать системный блок :)
Судя по тому, что мне могли рассказать другие языки, я полностью согласен с этими злыми языками
С генеральным понятно. Ему эта база по работе не нужна и если он туда лезет, то скорее всего это не он, а тот, кто взломал его рабочий компьютер.
А саппорт например? Сколько времени занимает получение доступа к данным у сапорта 2-3 линии? Сколько раз в день они это делают? Не получается ли так, что доступ через тикеты есть, но по факту его для сапорта не контролируют, а ставят одобрение на автомате, по принципу "это же сапорт и это из работа"
Должно быть ограничение либо в виде количества запросов в сутки, либо в виде "смотреть можно персданные только того пользователя, на которого открыт тикет". Чтобы не было возможности сливать записи миллионами. А тикеты, естественно, открывает не саппорт, а некоторая система на основании письма пользователя. Ну и выборочные проверки, да
Даже не так. У оператора поддержки на рабочем месте должен быть доступен только специальный интерфейс. Пусть он там смотрит любого юзера (иногда только чтобы его идентифицировать приходится несколько учёток перебирать - например, если в аккаунте записан один телефон, он звонит с другого с жалобой "не заходит") - но только вручную. Никакого доступа к консоли; если рабочее место - веб-страничка, то браузер должен быть обложен политиками, запрещающими скрипты и расширения + кроме браузера на этом компе ничего не должно запускаться и т.д.
Отлично! Я отвечаю за бэкапы, еженедельно провожу "учения по DRP", да банально - провожу тест на восстановимость базы данных из бэкапа - мне что - "тестовую кашу" восстанавливать, или так-таки гонять полные слепки "боевых" данных? ;-)
Да, все, кто выше 2-й линии - вполне валидно могут получить доступ к критичным данным, особо не привлекая к себе внимания...
я вас наверное расстрою, но у саппорта (та же пресловутая 2 или 3 ) есть доступ к ооочень многим данным.
Проблема, ИМХО, в другом. У Яндекс.Еды просто не прокатило.
В рамках Bug Bounty я находил безумные утечки данных из разных доставок еды, товаров, такси и подобных сервисов. Эти разные доставки жили на сумасшедшей инфраструктуре (как вам ежедневный отчёт по всем клиентам, который прилетает в открытый чат в ТГ?) из разных сервисов, которые друг с другом связаны плохо, либо вообще не связаны. И это прокатывало просто потому, что никто, кто это находил, не публиковал это (кому-то не хотелось, кому-то за это платили). И те, кто работал в компании, и таскал базы на флешках, в Гугл-дисках и других местах, их не сливали.
А тут просто не прокатило, и кто-то слил или спер. Это не значит, что Яндекс.Еда более дырявая, чем другие сервисы доставки, они просто первые, кому настолько крупно не повезло.
и тогда же уведомила всех затронутых пользователей по электронной почте
Ага, уведомили.
В интернет попали номера телефонов наших клиентов и техническая информация о заказах: дата создания, состав и другие подробности.
То, что "другие подробности" это E-Mail, адрес вплоть до квартиры и ФИО - они уведомить не удосужились.
На мой вопрос "у меня такой-то телефон, я есть в слитой базе?" ответили, что "они ещё выясняют масштаб утечки" (цитирую по памяти). То есть они просто разослали письмо всем пользователям подряд.
А они всем подряд и разослали - я не нашел себя на карте, но письмо приходило.
вот что ответили мне
а что, полиция по домам будет ходить и обзвоны делать, предлагать заявление написать?
А, ну ладно, если заблокировали.
Только что нагуглил и зашёл на эту карту без впн даже. Всё прекрасно работает, к сожалению
Это был сарказм. Кроме крупных штрафов проблему никак не решить. Несколько процентов от выручки, чтобы влияло на финансовые показатели. Можно в зависимости от данных, тогда сразу перестанут обрабатывать всякие фамилии, которые им не нужны для доставки. Тогда звонки будут только через робота, ограничения на просмотр профиля, даже у проектировщиков БД не будет этих данных, только у пары человек.
А я Гуглил, но не нашел. Ну с другой стороны кому там вообще интересно, что я шаурму пару раз да бигмаки заказываю ))
Я в Яндекс.Еде ничего никогда не заказывал (но заказывал в Яндекс.Лавке).
На сайте мои данные есть. Полный фио, телефон и, что странно, личная почта (к Яндексу привязана другая).
Адрес отсутсвует. Уведомление от Яндекса не приходило.
У девушки висят все данные. Личная почта и оба адреса: и мой и её. Причём мой адрес старый, я по нему жил в июле, явно больше чем полгода назад. Заказов в Яндекс Еде она тоже никогда не делала, только Лавка. Уведомления от Яндекса не получала.
СДЭК подтверждаю. У меня почта на домене и для каждого сервиса я ставлю свой адрес, и вот СДЭК спалился именно в этой базе.
Ещё как минимум магазин комиксов Bubble, с чем его и поздравляю. В базе засветился email, созданный только для покупки комиксов в этом магазине.
(Дополнил)
Подсказали, что слил не сам магазин, а СДЭК, доставлявший заказ.
от сливов СДЭК и Гемотеста там данные добавлены
Лавка доставляет заказы через инфраструктуру Яндекс.Еды.
Странная история. Такое ощущение, что до какого-то момента заказы в единый пул сыпались, а после Лавочные стали отдельно учитываться. Причём этот момент наступил примерно месяцев 5 назад.
Я, например, в принципе пользовался только Лавкой, где-то раз в месяц. При этом у меня в этой утечке есть заказ. Но только один.
У знакомых, которые пользовались и тем, и тем, сумма больше, чем в заказах Еды, но меньше, чем в заказах Еды + Лавки.
Кстати, в какое-то время назад появились отдельные курьеры Еды с рюкзаками фирменного бирюзового цвета. Но само по себе это не означает, что инфраструктура стала отдельной.
А утечка может просто содержать не все данные.
До меня что-то тоже не дошло пока не прочитал ваш комментарий что почту-то свою я в Яндексе нигде не светил. А она в утечке есть. Очень интересно...
1 марта и тогда же уведомила всех затронутых пользователей по электронной почте», — сообщили в пресс-службе сервиса.
Ага, конечно, уведомили они… беглый опрос родственников, друзей, чьи данные есть на карте показал, что уведомления не получил НИКТО из 9 человек. Не сильно репрезентативная выборка, конечно, но что-то мне подсказывает, что Пресс-служба лжёт.
Они просто сами не знают масштаб утечки. Так-то мне и многим знакомым пришло действительно.
Мне почему-то пришло на GMail вместо Я.Почты и улетело в папку Спам. Так что может и пришло, просто не увидели
Письмо действительно приходило, и даже ответили на уточняющие вопросы о том какие именно "прочие данные" утекли. Возможно у ваших знакомых попало в спам, либо не обратили внимания на "очередное письмо от яндекса"?
Интересно, что если подать коллективный иск к Яндексу за это дело. Есть у нас кто-то кто понимает в юриспруденции ? Такая практика вообще есть в РФ ?)
Групповые иски есть, вопрос только - что будете заявлять и как обосновывать сумму ущерба?
Моральный вред, открытые перс данные принесли колоссальные нравственные страдания, путем воздействия на мою психику, вызвав неконтролируемый признак опасения за свою физическую безопасность. Я не мастер формулировок, но что-то на подобии) не прокатит?
Я не мастер формулировок, но что-то на подобии) не прокатит?
Прокатит, рублей на 1000.
На каждого слитого по 1000 из кармана яндекса и глядишь зашевелятся все безопасники, в чьих инфраструктурах ПД половины страны крутятся.
Не на каждого слитого, а на каждого, кто в суд подал и выиграл дело.
Вот если бы на каждого слитого было - забегали бы как ужаленные. Но это мечты)
Ну, тут уже писали, что моментально появилось бы ООО "Персональные данные" с уставным капиталом в 10к, где бы эти данные, формально, и хранились. В случае утечки это юрлицо банкротится и делается ООО "Персональные данные 2".
Гораздо полезнее было бы запретить отказывать в сервисе, если клиент отказывается предоставить свои ПД. А то сейчас тебе нужна услуга, из тебя шантажом вымогают ПД и ты вынужден их предоставить, т.к. другого варианта у тебя нет.
В данном случае доставить заказ без адреса невозможно, поэтому ключевые вещи так или иначе попадут в базу - а именно адрес на текущий момент является самым чувствительным элементом из всего слитого, ибо полное фио + мобильный телефон не особо пугает - мошенники и так это давно знают.
Данные, необходимые для выполнения заключенного договора, компания может хранить и без моего согласия. А когда обязательства обеих сторон исполнены, компания должны перестать их хранить, если я такого согласия не дал.
Можно реализовать хранение персданных в самом приложении локально, на устройстве, передавать их вместе с заказом. После выполнения или отмены заказа, в бд должна быть запись без персданных. Из идентификационных данных можно например внутренний ID пользователя сохранять и хэш от ID, чтобы нельзя было спуфить левые ID.
Это первое что пришло в голову. Какие есть минусы?
Это не гарантирует полное отсутствие утечек, но должно сильно снизить вероятность и объём утечек с чувствительными данными (на время исполнения заказа персданные все таки должны быть у яндекса)
У меня самая большая сумма заказов в доме. Я действительно переживаю за свою безопасность и испытываю сильное желание переехать.
Очень жаль, что нет у нас нормального наказания за такие вот фортели. Это даже не банк, который лицензией рискует. Отчитались, мол, больше так не будем.. И все.
Чем сильнее интегрированы отдельные персоны в тему вертикали власти, тем меньше с их корпораций спрашивают. Яркиц пример тот же фб, который продолжает жить и, возможно, процветать, несмотря на регулярные сливы и зашквары.
Ну тот же фейсбук по GDPR получил штраф на почти 19 миллионов долларов за нарушения 2018 года. https://techcrunch.com/2022/03/15/facebook-2018-breaches-dpc-decision/
В 2018 Facebook получил прибыль в 22 миллиарда. Такой штраф они могли бы платить каждый день, и все равно осталось бы 15 миллиардов
Это потому что все жалуются друг другу в комментариях, и всем лень пойти в суд, или хотя бы присоединиться к коллективному иску.
Кто-нибудь может объяснить, почему сделать сайт и выложить на него все личные данные — это ок, а дать на него ссылку на хабре — не ок?
чтобы не быть такими как тот сайт. Если видите как кто-то ворует из машины и раздает имущество окружающим, тоже так делать будете?)
Переформулирую. Сайт, про который говорится в статье, делает "плохие" вещи (распространяет данные пользователей), но при этом прикрывается "хорошими" намерениями (привлечение внимания к проблеме). С вашей точки зрения, цель отправдывает средства или нет?
Хабру прилетит за распространение, я об этом. Поэтому и ссылку не публикуют в явном виде.
Сайт, про который говорится в статье, делает "плохие" вещи (распространяет данные пользователей), но при этом прикрывается "хорошими" намерениями (привлечение внимания к проблеме).
да, цель оправдывает средства в этом случае. Потому что эти дампы УЖЕ существуют в даркнете и отсутствие возможности пробить себя легко по ним ничем пострадавшим потребителям сервиса Яндекса (мне в том числе) уже не поможет.
А мне кажется, что поможет. Потому что одно дело - даркнет с файликом .csv, а другой - удобный веб-интерфейс с поиском и картой
"Сгорел сарай — гори и хата"?
Во-первых, как сказали выше, для получения дампов из даркнета нужен некий порог вхождения, отсекающий хотя бы часть потенциальных мошенников. Тут же данные преподнесены буквально на блюдечке с голубой каемочкой, чтобы злоупотребить ими было максимально удобно. Авторы сайта не удосужились хотя бы замаскировать часть фамилии, телефона и эмейла звездочками, хотя это позволило бы "сохранить лицо" минимальными усилиями.
Во-вторых, есть масса вещей, которые "уже существуют", но все же запрещены к распространению по вполне убедительным причинам: наркотики, ДП и тому подобное. Аргумент, что конкретно вам можно их распространять, потому что без вас их все равно можно найти где-то еще, выглядит абсурдным.
Виноват всё равно тот у кого данные утекли. На бумаге ФЗ о персональных данных очень суров. Уверен что тот же ФБК из этой базы извлечёт очень много квартир и дач, если ещё не.
И не только ФБК, сценариев использования такой базы очень много. Например - налоговая может проанализировать - собственник более чем одной квартиры, а из этих квартир регулярно, на протяжении длительного времени заказываются товары на других лиц. И цоп, пожалуйте на беседу о нетрудовых доходах неуплате налогов.
Военкомат - поиск уклонистов, проживающих не по прописке.
Коллекторы - должников (у операторов сливаются актуальные сотовые номера должника, и смотрят - где этот товарищ обитает фактически) и т.д.
Во-вторых, есть масса вещей, которые "уже существуют", но все же запрещены к распространению по вполне убедительным причинам: наркотики, ДП и тому подобное. Аргумент, что конкретно вам можно их распространять, потому что без вас их все равно можно найти где-то еще, выглядит абсурдным.
не натягивайте сову на глобус. Во-первых, я не участвую в распространении. Я даже линки не пересылал на этот сервис. Во-вторых, Вы не понимаете разницу между распространением цифровых предметов и предметов материального мира. В третьих, должен быть умысел для получения выгоды. В случае распространения наркотиков он очевидно есть, в случае распространения дампов - нет. В четвертых, есть же сервис, например, по проверке паспортов на действительность, или наличия ограничений ФССП. Никто не мешает точно так же узаконить сервис по пробиву утекли ли твои данные или нет. В целом, как потребитель услуги - я ИМЕЮ право это знать. С чем соглашусь - так это с формой, потому что действительно никто не мешал часть данных закрыть звездочками. Но это сейчас, как я понимаю, наименее принципиальный вопрос
Во-первых, как сказали выше, для получения дампов из даркнета нужен некий порог вхождения, отсекающий хотя бы часть потенциальных мошенников.
это бред, вы сами в это верите?
Я отлично понимаю разницу между цифровыми и физическими вещами, поэтому упомянул порнографию, за распространение которой можно и присесть при особом раскладе, хотя ее в интернете пруд пруди, и наличие умысла-выгоды для этого абсолютно не обязательно.
Этичный и законный сервис по определению утечек данных уже есть — haveibeenpwned.com. Только обратите внимание на разницу: в отличие от сайта из статьи, он выдает только сам факт попадания в ту или иную базу (сервис, год), но не конкретные личные данные.
И что такого невероятного в наличии ленивых или тупых мошенников? Мне до сих пор периодически звонят разводилы от имени банков, где у меня последний раз были счета 10 лет назад. Актуализировать базу сложно, а "вдруг прокатит" — просто.
В зависимости от ряда обстоятельств незаконное изъятие имущества из автомобиля и раздача его окружающим могут образовывать состав кражи либо грабежа, то есть нарушения вещного права, причиняющего собственнику ущерб (вред в материальной форме). За это предусмотрены уголовная и гражданская ответственность.
Обработка персональных данных в неустановленном порядке является административным правонарушением, она не причиняет вреда субъекту в материальной форме и часто не причиняет никакого вреда вовсе. Ссылка на сайт, незаконно обрабатывающий персональные данные, не является правонарушением, не наносит никому вреда и является реализацией права на свободу слова.
Таким образом, вы пытаетесь приравнять преступление, наносящее материальный вред к деянию, ущерба не причиняющему.
Примерно такой же логикой примерно десять лет назад, злоупотребляя правом, руководствовались так называемые "копирасты", добивавшиеся запрещения целых сайтов за одну лишь ссылку на пиратский контент. Это послужило почвой для создания цензуры и прологом ко всему, что мы сегодня видим.
Это, конечно, печально, что из-за недобросовестных сотрудников такое происходит. Вот только не пойму, какой смысл это делать?) Вроде как дата аналитик имеешь доступ ко всевозможным базам, но зачем сливать? Веселись в своё удовольствие, крути данные как угодно (иногда и в рабочее время). А сливать, даже без риска быть пойманным, это как-то не интересно и не спортивно.
срезало. Солидарен с @Delfnsk что нужно подавать коллективный иск. Если таковой будет - я в деле
В сливе себя не нашел. Зато нашел кучу однофамильцев - потенциальных родственников, зафиксировал почтовые адреса - сделаю всем рассылку на предмет выявления.
PS: Не пользуюсь Яндекс.Едой и прочими сервисами для лентяев, каршерингом, вайфшерингом и кикшерингом - оказывается, у такой стратегии есть и преимущества ;)
В России у такой стратегии всегда есть преимущества. Тут майнинг данных еще с 90-х контрится только поговоркой "деньги любят тишину". У меня машина прошлую зиму стояла не на ходу на улице, так пришел вотсап и емейл с предложениями купить и еще один вотсап с предложением купить номера. Спамерские звонки так осто**ли, что уже просто не беру номера, которые не в телефонной книге (и уже было пара неудобных случаев, что пытались дозвониться профессора/доктора наук, а я, мелкая мнс-ная шоха, трубку не брал). Живу с полным ощущением, что на меня устремлены десятки глаз каких-то силовиков, мошенников, решал, но я неинтересен им просто потому, что ничем толком не владею и не борзый по жизни.
Послал бы куда-подальше, если бы мне такой "родственнику" написал бы. Вру, проигнорировал бы, конечно. Как и большинство.
Коннект: Слушай, мож мы родственники?
ALEXA: думаешь???
Коннект: Ну, может дальние. Какая девичья фамилия была у твоей матери?
ALEXA: *енко
Коннект: О, у тебя 8 новых писем )
ALEXA: в смысле???
Как вы можете оценить вред, нанесённый вам публикацией украденных у Яндекса данных на сайте, о котором рассказывает данный пост м в чём этот вред по-вашему заключается?
Вы идиот или прикидываетесь?
Во-первых, есть
УК РФ Статья 137. Нарушение неприкосновенности частной жизни
УК РФ Статья 138. Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений
Во-вторых, если Вы помните, то очень многие ресурсы используют хорошо известные идентификаторы - вроде почты или телефона - как учетные данные. То есть их можно использовать для взлома учёток.
В третьих, там же часто бывают всякие секретные вопросы, которые используются для восстановления доступа к различным ресурсам (включая банковские счета). И бывает, что в таких сливах эти данные лежат (например, девичья фамилия вашей матери).
В четвертых, не просто так еще есть законы о защите ПД. ФИО + телефон + адрес вполне могут ими быть, т.к. вполне конкретно идентифицируют физ лицо. А дальше все может быть весело. Скажем, я кому-то когда-то криво улыбнулся и этот человек немножко съехал с катушек. При помощи данных этого (и других) слива он может, например, выехать на мой адрес и причинить мне физический вред. И точно мой адрес какому-нибудь анониму вроде вас знать не надо.
Касательно суммы ущерба - Вы абсолютно правы, что ее оценить сложновато на первый взгляд, потому что потенциально она зависит от того, каким образом эти данные могут быть использованы. Но вообще речь идет о возможности преступлений вплоть до покушения на жизнь. Поэтому в первую очередь - вред моральный, а дальше уже самый честный суд сам решает.
Ссылка на сайт, незаконно обрабатывающий персональные данные, не является правонарушением, не наносит никому вреда и является реализацией права на свободу слова.
Выше Вы сами пишете. Свобода слова. Но вряд ли свободой слова будет то, если я буду выкладывать порочающую Вашу репутацию информацию, не так ли? Вы меня легко тогда притянете по делу о клевете. Поэтому не нужно тут вещать про чьи-то права, когда они нарушают чужие права.
Да, на карте конечно масштаб утечки прям наглядно виден. Я не думал, что настолько, и до сих пор не понимаю, как они могли ее допустить в таком количестве. Там совсем не парились с данными клиентов?
Пошел единичку им поставил в Google Play, ну это через край просто. Какие там для них последствия сейчас, сказали "извините"?
На карте... ха - там база SQL на 50Gb.
Кстати, на карте масштаб утечки некорректный. Отображается якобы 40 с лишним тысяч человек, а полностью они погружаются только если сильно увеличить карту, и то, только в увеличенной области. После увеличения, в одном районе Санкт-Петербурга количество утечек "начинает" превышать 100 тысяч.
Масштаб сильно больше, чем это показывает карта.
В дампе все есть, он огромен. Смеха ради загрузил в датагрип московскую базу, нашел много знакомых. Позабавил результат такого запроса:
SELECT address_comment
FROM moscow
WHERE address_comment LIKE '%школ%';Много комментариев типа "передайте в школу через забор", или "строго в 13-55, передайте ученику 4Б" :):):)
У нас даже в дипломных работах жестко наказывалась какая либо возможность выгрузки базы данных. А тут несколько миллионов строк. Я далеко не спец по базам данных и даже не программист, но сама по себе новость как будто из другой вселенной с розовыми понями...
новость из вселенной с горящими дедлайнами и нарушенными правами доступа к данным на проде. всего лишь 2 пункта кратно снижают уровень защиты данных в любом приложении, когда чтобы получить доступ - достаточно сказать безопасникам/админам "баг на проде, фсё горит! согласовали с тимлидом, нужон доступ срочно!"
Хуже - если такое даже не согласовывается, а выдаётся по-умолчанию на этапе разработки, а потом не отбирается.
самое главное в этой базе есть геолокация с телефона во время заказа с координатами
x/y
id,first_name,full_name,email,phone_number,address_city,address_street,address_house,address_entrance,address_floor,address_office,address_comment,location_latitude,location_longitude,amount_charged,user_id,user_agent,created_at,address_doorcode
Вот так я и познакомился с соседями. Узнал, у кого айфон в кредит (шутка: там просто трат на 1,5к), и что я не самый ленивый. Печально, конечно
Там база яндекс.еды плюс база фио-email-телефон. В яндексе ничего не заказывал и на карте себя не нашёл, а вот в отдельном файле с фио-email-телефонами нашёл, причём с почтой которую указывал только в одном магазине (и это был вообще никак не яндекс) и больше нигде. Короче, нет никакой защиты персональных данных.
upd: сейчас посмотрел, доставка в том магазине была через СДЭК, т.ч. если магазины в СДЭК передают email покупателей то, видимо, тут ещё база СДЭК.
Спасибо за наводку, тоже сижу ломаю голову откуда мог уйти такой базовый набор ПД.
Если кто-то в СДЭК еще указывал уникальный email или ФИО заглавными, было бы неплохо услышать вас.
магазины в СДЭК передают email покупателей
передают, мне уведомление на email как раз приходило после заказа в магазине с доставкой.
Там (на заблокированном ныне сайте) три базы: Яндекс.Еда, СДЭК и какие-то, прости Господи, "Вкусные Суши" (судя по всему работают только в СПБ), утекшие примерно в одно время.
А можно ссылочку а карту в ЛС?
Роскомнадзор оштрафует «Яндекс.Еду» за утечку персональных данных
Статья КоАП РФ, по которой составлен протокол, предполагает штраф в размере от 60 тыс. до 100 тыс. руб., уточнили в ведомстве: «Точную сумму штрафа определит суд».
100т. рублей штрафа за такой факап. Прямо даже не знаю это смешно или грустно. Интересно, как рассчитывался размер штрафа при составлении этого пункта статьи КоАП РФ?
Не слишком ли жесткое наказание?! Себя и жену обнаружил, со всеми тратами и адресом.
Эх, не успели https://habr.com/ru/news/t/652643/
Каждому! :)
Вот же дерьмо. Всю жизнь заказывал через деливери клаб, но однажды решил разок заказать через яндекс. И привет. Неужели яндекс настолько шаражкина контора?.. Предложенный штраф в 100тыс. руб. настолько смехотворен, что даже не верится. Теперь, зная чей-то емейл, можно с большой долей вероятности узнать его точный адрес, телефон и ФИО. Это очень большая подстава и показательный пример, насколько у них всё плохо организовано. Дальше что? Почтовую базу сольют и оштрафуются на 100тыс? Походу, с я.почты нужно сваливать тоже.
Дальше что? Почтовую базу сольют и оштрафуются на 100тыс? Походу, с я.почты нужно сваливать тоже.
следующие - госуслуги. Вообще надо валить из юрисдикции РФ, потому что всегда было очевидно, что хранение ПД в РФ - это фикция
Ну да, больше же никого не сливали никогда, только тех кто в юрисдикции РФ. То то на публичных форумах в открытом виде (т.е. уже отработанное, а сколько всего не в публичном и в работе...) темы с десятками страниц где публикуют опубликованные сливы.
Хватит приплетать куданипопадя
не думаете, что эти ребята?
примазались, 10Гб архив, они бы из за шумихи скорее всего бысказали как вне архива.
ну и там (Еда, Лавка, Магнит) Names, home addresses, phones, order date, order price, delivery service, откуда приписка про пароли появилась?
знаете в чем разница? В том, что европейские компании очень так нормально притягивают по GDPR. Или американский аналог - CCPA. Если мне память не изменяет - там проценты от оборота. А это сразу заставляет думать о защите данных. Причем за повтор - суммы растут. Не то что в РФ. Сколько тут штраф? 100000 рублей? Серьезно? Хоть каждый день нарушай - яндекс не обеднеет.
Киньте плиз ссылку на сайт с картой.
Больше всего напрягает, что там есть данные, которые не предоставлялись клиентами.
Моя жена себя пробила по этой карте, и обнаружила там информацию о своем месте работы, и свой рабочий Email. Естественно при регистрации использовался личный Email.
Это стремно.
Да, явно одним Яндексом тут не ограничилось. Наблюдаю в сливе своё полное ФИО, а это значит у кого-то были паспортные данные. Скорее всего СДЭК.
вероятно та же база данных с онлайн картой, которую переделают в офлайн версию с удобной поисковой мордой и офлайн картой (пусть даже она и будет весить более 50Гб)-это вопрос времени (как раньше были популярны телефонные справочники-где можно было легко пробить по фамилии или городскому телефону).
К сожалению, до сих пор среди очень многих айтишников бытует мнение, что если никто не знает, где находится апишка, то это относительно безопасно и решение такой проблемы можно отложить.
Вот это конечно поворот событий.
Саму еду вроде не заказывал не разу. Но были другие заказы. Судя по Коментариям в теме слив тоже затрону тех кто просто пользовался смежными сервисами.
Эта довольно неприятная история может вылиться в довольно большой скандал, или даже изменения в законах, хотя последнее наверное не для мозгов законодателей. Ибо только когда массовые жалобы пойдут. А они явно когда-то да пойдут.
Сливы были, есть и будут. Тем более, если я верно помню, слил какой-то разработчик.
Но почему-то все возбудились только на яндекс.еду. Хотя в рядом стоящей новости про слив у СДЭК и комментариев всего ничего.
А вообще это прекрасная иллюстрация в том числе и того, как много хотят знать компании информации о том, что им знать не нужно. Ни курьеру, ни компании не нужно знать мои ФИО и номер телефона для доставки мне еды.
выражение "дыра в безопасности" в яндексе поняли по-своему
Данные клиентов сервиса «Яндекс.Еда» переложили на карту, в РФ этот сайт уже блокируется, Яндекс отрицает новую утечку