По информации издания «Ведомости», в московский суд подан первый коллективный иск на «Яндекс.Еду» из-за утечки персональных данных пользователей. Пока что к нему присоединились 33 пострадавших клиента сервиса, а еще 300 заявок от других в обработке. Заявители иска требуют через суд от Яндекса компенсации в размере 100 тыс. рублей за утечку данных каждого пользователя.
Юристы, которые подали иск, пояснили, что предметом спора по заявлениям пользователей является право требования заявителями компенсации морального вреда в связи с нарушением п. 2 ст. 17 закона «О персональных данных». Из положений этой статьи следует, что пользователь, передавший информацию оператору персональных данных, имеет право на обжалование его действий или бездействия, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
В случае принятия иска в производство и начале рассмотрения этого дела только суд будет решать, какую именно назначить итоговую компенсацию каждому пострадавшему пользователю с учетом обстоятельств, при которых им был причинен моральный вред.
Согласно исковому заявлению, после утечки персональных данных пользователям «Яндекс.Еды» начали массово поступать звонки с незнакомых номеров с рекламными предложениями различных услуг, им также стали звонить мошенники. Пользователи сервиса считают, что была нарушена неприкосновенность их частной жизни, они переживают за свою безопасность, так как в утечке есть их ФИО, фактические адреса, коды от домофонов, номера квартир и другая их частная информация.
Представитель замоскворецкого суда пояснил, что первый в Москве иск к компании «Яндекс.Еда», допустившей массовую утечку персональных данных своих пользователей, ведомство зарегистрировало сегодня.
«В суд поступил иск к компании „Яндекс.Еда“, истец просит компенсировать моральный вред в размере 100 тысяч рублей за массовое распространение персональных данных», — рассказали в суде.
1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.
Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:
- имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
- номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
- полный адрес доставки клиента;
- комментарии к заказу;
- выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.
22 марта 2022 года в СМИ и различных телеграм-каналах появилась ссылка на сайт с интерактивной картой, на которой нанесены, согласно адресам, данные клиентов из утечки сервиса «Яндекс.Еда». На карте можно найти такие данные клиентов: ФИО, телефон, адрес вплоть до квартиры, электронную почту, суммарную трату в «Еде» за полгода.
Яндекс пояснил, что это не новая утечка, а визуализация данных из утечки, произошедшей в конце февраля.
23 марта Роскомнадзор сообщил о составлении протокола в отношении ООО «Яндекс.Еда» за нарушение законодательства в области персональных данных.
В этот же день проект «Сетевые свободы» объявил о начале организации юридической помощи пострадавшим пользователям и организует коллективный иск против «Яндекс.Еды» после массовой утечки данных клиентов.
24 марта (спустя 26 дней после глобальной утечки данных) руководитель сервиса «Яндекс.Еда» Роман Маресов впервые пояснил ситуацию, прокомментировал инцидент и рассказал, что компания сделала не так и почему она так подвела пользователей.
Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом.Кратко из пояснений Маресова:
— руководитель сервиса «Яндекс.Еда» .
- узнали об утечке из СМИ или просто слишком поздно;
- предупредили пользователей;
- приняли меры по распространению утечки, но было поздно;
- через 21 день опять стали принимать экстренные меры по блокировке сайтов с уже визуализацией утечки данных, вплоть до разделегирования доменов с утечкой;
- сократили количество сотрудников, которые имеют доступ к приватным данным пользователей; закрыли систему, через которую был получен доступ к данным;
- разрешат удалять все свои данные из Еды;
- про компенсацию пользователям ничего не сказали.
25 марта 2022 года суд Москвы получил протокол от Роскомнадзора на сервис «Яндекс.Еда», зарегистрировал дело №05-0413/101/2022 об административном правонарушении, а также назначил дату заседания — 21 апреля. Согласно описанию дела, ООО «Яндекс.Еда» нарушило законодательство в области персональных данных по ч. 1 ст. 13.11 КоАП РФ. Компании грозит административное наказание. Точную сумму штрафа (до 100 тысяч рублей) определит суд.
