21 декабря 2022 года «Яндекс» рассказал, что мартовская утечка данных «Яндекс.Еды» произошла в результате атаки на стороннюю IT-инфраструктуру внешнего хостинга, где стояли виртуальные серверы FoodFox, подключённые через VPN в сеть «Яндекс Еды», а не «инсайда или раздолбайства» внутри компании.
Слева директор по защите данных «Яндекса» Иван Черевко, в яркой футболке директор по безопасности «Яндекса» Антон Карпов и рядом с ним технический директор «Яндекс Еды» Никита Илясов.Заявление об инциденте прозвучало в подкасте Сергея Мезенцева на YouTube. По словам директора по безопасности компании Антона Карпова, злоумышленники взломали внешний хостинг, на котором располагались виртуальные машины сервиса. Эти серверы достались в «наследство» от компании-предшественника «Яндекс.Еды» под названием FoodFox.
«Это безусловно наша вина, но немного греет, что сломали не «Яндекс»», — заявил в подкасте Карпов. Сразу после того, как в компании убедились, что база данных — не компиляция и не фейк, они решили рассказать об этом своим пользователям. Первоначальную версию о сливе данных сотрудником в компании выдвинули потому, что там не видели следов взлома. Но дальнейшее расследование показало, что атака произошла через внешний хостинг за пределами «Яндекса».
Согласно судебным документам, «Яндекс Еда» получила статус потерпевшего по уголовному делу. В материалах дела указано, что злоумышленники атаковали сторонний хостинг, где были размещены виртуальные машины компании с доступом во внутреннюю систему. При этом инфраструктура «Яндекса» не была скомпрометирована, заверили в компании.
7 августа эксперт пояснил, почему из-за утечки «Яндекс.Еды», куда попали адреса клиентов, номера телефонов, электронная почта и суммы заказов за последние полгода, были возбуждены два уголовных дела, хотя по другим утечкам в этом году остальные компании, где произошёл инцидент, получали только административные штрафы до 100 тыс. рублей.
Эксперт в сфере информационной безопасности рассказал СМИ, что в основном утечки в российских компаниях происходят из-за проблем с уязвимостями в системах защиты, неправильной настройки серверов и систем хранения, в случае хакерских атак или инсайда с умышленными намерениями. По его мнению, в «Яндексе» произошло как раз последнее. В уголовных делах по этой утечке именно сотрудник компании (или группа лиц, причастных к инциденту), который совершил акт копирования и передачи данных клиентов третьим лицам, будет основным подозреваемым.
Уголовные дела по факту разглашения личных данных пользователей «Яндекс.Еды» возбуждены по трём статьям УК РФ: ч.1 ст.137 («Нарушение неприкосновенности частной жизни»), ч.3 ст.272 («Неправомерный доступ к компьютерной информации»); ч.2 ст.273 («Создание, использование и распространение вредоносных компьютерных программ»). Максимальным наказанием за эти правонарушения является лишение свободы на срок до пяти лет.
Представители «Яндекса» сообщили СМИ, что в курсе уголовных дел по утечке «Яндекс.Еды». В компании сотрудничают с правоохранительными органами по этой ситуации
«Заявление о незаконном доступе злоумышленников к данным пользователей мы подали в правоохранительные органы сразу же, как нам стало известно об инциденте. После этого Следственный комитет возбудил уголовное дело по факту хищения данных по ст. 137 (нарушение неприкосновенности частной жизни), 272 (Неправомерный доступ к компьютерной информации), 273 (Создание, использование и распространение вредоносных компьютерных программ) УК РФ. В настоящее время продолжается расследование и поиск злоумышленников»,
— пояснили Хабру в «Яндексе».
Хронология по реагированию на утечку «Яндекс.Еды» со стороны компании и надзорных ведомств
9 ноября 2022 года московский суд постановил выплатить в качестве компенсации 13 пользователям сервиса доставки «Яндекс Еда» по 5 тыс. рублей за утечку их персональных данных. Заявители иска требовали через суд от «Яндекса» компенсации в размере 100 тыс. рублей за утечку данных каждого пользователя.
В начале августа Следственный комитет РФ по запросу депутата Госдумы возбудил второе уголовное дело по факту разглашения личных данных пользователей и курьеров сервиса «Яндекс.Еда».
2 августа суд повторно оштрафовал «Яндекс.Еду» на 60 тыс. руб. за утечку персональных данных. Второе административное наказание было наложено за инцидент с утечкой информации о курьерах.
11 июля московский суд зарегистрировал протокол от Роскомнадзора на «Яндекс.Еду» по поводу утечки данных курьеров.
30 мая 2022 года Яндекс опроверг новую утечку данных и пояснил, что информация о курьерах сервиса доставки «Яндекс.Еда» утекла в конце февраля вместе с данными клиентов.
Первое уголовное дело по результатам проверки фактов утечки персональных данных пользователей сервиса «Яндекс.Еда» СК по тем же трём статьям УК РФ возбудил в конце апреля. Согласно пояснению депутата Госдумы, инициировавшего в СК РФ запрос по этой утечке. Следственные органы тогда начали комплекс следственных действий и оперативно-розыскных мероприятий, направленных на раскрытие указанных деяний и установление лиц, их совершивших.
21 апреля Мировой судья судебного участка района Замоскворечье в Москве оштрафовал на 60 тыс. рублей компанию «Яндекс.Еда» за утечку данных пользователей.
В марта в суд были поданы два коллективных иска на «Яндекс.Еду» из-за утечки персональных данных пользователей. В апреле исков уже стало три.
24 марта (спустя 26 дней после глобальной утечки данных) руководитель сервиса «Яндекс.Еда» Роман Маресов впервые пояснил ситуацию, прокомментировал инцидент и рассказал, что компания сделала не так и почему она так подвела пользователей.
23 марта Роскомнадзор сообщил о составлении протокола в отношении ООО «Яндекс.Еда» за нарушение законодательства в области персональных данных.
22 марта 2022 года в СМИ и различных телеграм-каналах появилась ссылка на сайт с интерактивной картой, на которой нанесены, согласно адресам, данные клиентов из утечки сервиса «Яндекс.Еда». На карте можно найти такие данные клиентов: ФИО, телефон, адрес вплоть до квартиры, электронную почту, суммарную трату в «Еде» за полгода. Яндекс пояснил, что это не новая утечка, а визуализация данных из утечки, произошедшей в конце февраля.
1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.
Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:
- имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
- номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
- полный адрес доставки клиента;
- комментарии к заказу;
- выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.
