2 августа суд повторно оштрафовал «Яндекс.Еду» на 60 тыс. руб. за утечку персональных данных. Теперь административное наказание было наложено за инцидент с утечкой информации о курьерах.
Фактически «Яндекс» получил второй административный штраф за одну ту же утечку, как заверяет компания. Данное наказание могло быть от 60 тыс. рублей до 100 тыс. рублей за нарушение законодательства в области персональных данных по ч. 1 ст. 13.11 КоАП РФ. Суд выбрал нижнюю рамку по штрафу.
Общий суммарный штраф (первый штраф за эту утечку, но за данные клиентов тоже был 60 тыс. рублей) по этой глобальной утечке с более чем 50 млн. строк с ПД клиентов и курьеров составил 120 тыс. рублей.
11 июля московский суд зарегистрировал протокол от Роскомнадзора на «Яндекс.Еду» по поводу утечки данных курьеров.
«Роскомнадзор составил и передал в суд административный протокол в отношении ООО „Яндекс.Еда“ за предоставление неправомерного доступа к информационной системе персональных данных, что привело к незаконному распространению персональных данных курьеров сервиса», — сообщили СМИ в РКН.
30 мая 2022 года Яндекс опроверг новую утечку данных и пояснил, что информация о курьерах сервиса доставки «Яндекс.Еда» утекла в конце февраля вместе с данными клиентов.
Речь идет о той же утечке, о которой мы сообщили 1 марта. Наша служба безопасности изучила фрагмент опубликованной базы и подтвердила, что данные о партнерах, которые доставляют заказы, оказались в руках злоумышленников одновременно с данными о заказах. Новых инцидентов мы не фиксировали.В конце мая по информации экспертов сервиса поиска утечек и мониторинга даркнета DLBI, в открытый доступ были выложены файлы с персональными данными курьеров сервисов доставки «Яндекс.Еда».
С того момента все системы Яндекс Еды прошли многоуровневый аудит безопасности, ужесточены политики хранения данных, ограничено число сотрудников, которые имеют доступ к чувствительной информации.
Злоумышленники не смогут получить доступ к аккаунтам курьеров, хэши паролей из утечки относятся к деактивированному приложению, которое давно не используется.
Мы предпринимаем все возможное для предотвращения распространения данных – добиваемся блокировки ресурсов злоумышленников и их разделегирования.
В файле с базой данных курьеров сервиса «Яндекс.Еда» содержится 700 022 строки. Там есть ФИО, хешированный (bcrypt) пароль и номер телефона (585 298 уникальных номеров). Экспертам было непонятно, когда произошла утечка. Предположительно, что по времени это может быть апрель или ранее.
Примечательно, что Яндекс в двух официальных публикациях об утечке (1 и 2), произошедшей в конце февраля, не предупреждал и не информировал общественность, что утекли данные курьеров. Тогда компания заявляла, что пострадали только клиенты сервиса, и утекли только данные их заказов.
Об утечке мы узнали 28 февраля. Утёкшая информация — массив из нескольких миллионов строк, в которых содержались сведения о заказах из Яндекс Еды. Это адреса, номера телефонов, имена — в том виде, в каком они указаны в сервисе, — а также даты, время и стоимость заказов. Утечки логинов, паролей и данных банковских карт не было, эта информация в безопасности.1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.
Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:
- имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
- номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
- полный адрес доставки клиента;
- комментарии к заказу;
- выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.
22 марта 2022 года в СМИ и различных телеграм-каналах появилась ссылка на сайт с интерактивной картой, на которой нанесены, согласно адресам, данные клиентов из утечки сервиса «Яндекс.Еда». На карте можно найти такие данные клиентов: ФИО, телефон, адрес вплоть до квартиры, электронную почту, суммарную трату в «Еде» за полгода. В настоящее время доступ к этому сайту с картой заблокирован на территории РФ всеми провайдерами по запросам Яндекса.
Яндекс пояснил, что это не новая утечка, а визуализация данных из утечки, произошедшей в конце февраля.
23 марта Роскомнадзор сообщил о составлении протокола в отношении ООО «Яндекс.Еда» за нарушение законодательства в области персональных данных.
В этот же день проект «Сетевые свободы» объявил о начале организации юридической помощи пострадавшим пользователям и организует коллективный иск против «Яндекс.Еды» после массовой утечки данных клиентов.
24 марта (спустя 26 дней после глобальной утечки данных) руководитель сервиса «Яндекс.Еда» Роман Маресов впервые пояснил ситуацию, прокомментировал инцидент и рассказал, что компания сделала не так и почему она так подвела пользователей.
Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом.Кратко из пояснений Маресова:
— руководитель сервиса «Яндекс.Еда» .
- узнали об утечке из СМИ или просто слишком поздно;
- предупредили пользователей;
- приняли меры по распространению утечки, но было поздно;
- через 21 день опять стали принимать экстренные меры по блокировке сайтов с уже визуализацией утечки данных, вплоть до разделегирования доменов с утечкой;
- сократили количество сотрудников, которые имеют доступ к приватным данным пользователей; закрыли систему, через которую был получен доступ к данным;
- разрешат удалять все свои данные из Еды;
- про компенсацию пользователям ничего не сказали.
25 марта 2022 года суд Москвы получил протокол от Роскомнадзора на сервис «Яндекс.Еда», зарегистрировал дело №05-0413/101/2022 об административном правонарушении, а также назначил дату заседания — 21 апреля. Согласно описанию дела, ООО «Яндекс.Еда» нарушило законодательство в области персональных данных по ч. 1 ст. 13.11 КоАП РФ. Компании грозило административное наказание до 100 тысяч рублей.
21 апреля Мировой судья судебного участка района Замоскворечье в Москве оштрафовал на 60 тыс. рублей компанию «Яндекс.Еда» за утечку данных пользователей.
В конце апреля Главным следственным управлением Следственного комитета РФ было возбуждено уголовное дело по признакам составов преступлений, предусмотренных частью 1 статьи 137 («Нарушение неприкосновенности частной жизни»), частью 3 статьи 272 («Неправомерный доступ к компьютерной информации») и частью 2 статьи 273 («Создание, использование и распространение вредоносных компьютерных программ») Уголовного кодекса РФ по факту утечки данных пользователей «Яндекс.Еды».
