Как стать автором
Обновить

Руководитель «Яндекс.Еды» впервые прокомментировал утечку данных клиентов

Время на прочтение4 мин
Количество просмотров37K


24 марта 2022 года спустя 26 дней после глобальной утечки руководитель сервиса «Яндекс.Еда» Роман Маресов впервые пояснил ситуацию, прокомментировал инцидент и рассказал, что компания сделала не так и почему она так подвела пользователей.
Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом. В последние два дня мне самому пришло много вопросов от родственников и друзей. Я пишу этот текст, чтобы рассказать всем, что произошло, что мы делаем сейчас и что планируем делать дальше.

Об утечке мы узнали 28 февраля. Утёкшая информация — массив из нескольких миллионов строк, в которых содержались сведения о заказах из Яндекс Еды. Это адреса, номера телефонов, имена — в том виде, в каком они указаны в сервисе, — а также даты и время заказов. Утечки логинов, паролей и данных банковских карт не было, эта информация в безопасности.

Мы решили, что необходимо первым делом предупредить пользователей. На следующий день, 1 марта, команда Еды начала рассылать письма тем, чьи данные оказались скомпрометированы.

22 марта злоумышленники запустили сайт с визуализацией — они привязали данные пользователей Яндекс Еды к интерактивной карте. При этом на сайте можно найти сведения, которых не было в массиве: например, ФИО и адреса электронной почты. Это означает, что создатели сайта скомпоновали данные Еды с данными, утёкшими из других компаний.

Когда утечка произошла и данные обнародованы, всё, что тебе остаётся, — пытаться не дать им распространиться дальше. Это ровно то, что делает Яндекс Еда. Мы добиваемся блокировки сайтов и каналов, которые публикуют данные. Мы связываемся с регистраторами и облачными хранилищами — чтобы разделегировать домены и удалить файлы с информацией о заказах. К 23 марта большинство провайдеров уже заблокировали ресурсы, которые распространяли утёкшую информацию, — они недоступны на территории РФ.

Февральская утечка — беспрецедентный случай для Яндекса, который считает сохранность данных пользователей высшим приоритетом. Мы извлекли из этого много уроков, хотя и предпочли бы получить их менее суровым путём.

За прошедшие недели команда Еды свела к минимуму количество сотрудников, которые имеют доступ к приватным данным. Мы уже переносим эти данные в более защищённое хранилище и будем тщательно следить за тем, чтобы они не покидали безопасный контур. Мы закрыли систему, через которую был получен доступ к данным, провели полный аудит безопасности и изменили график регулярных проверок — теперь они будут проводиться чаще. Да, эти меры следовало принять раньше, но, к сожалению, машину времени ещё не придумали.

В скором времени мы подключим Еду к инструменту для управления данными, который Яндекс запустил в прошлом году. С его помощью можно посмотреть, какие данные о вас накопили разные сервисы, и при желании удалить их раз и навсегда.

Расследование утечки всё ещё продолжается. Яндекс проводит внутренние проверки и сотрудничает с регуляторами и правоохранительными органами. Если вас затронула утечка и у вас есть вопросы, напишите нам на горячую линию helpme@eda.yandex.ru.

— написал пользователям Роман Маресов, руководитель «Яндекс.Еды»
Кратко из вышесказанного:

  • узнали об утечке из СМИ или просто слишком поздно;
  • предупредили пользователей;
  • приняли меры по распространению утечки, но было поздно;
  • через 21 день опять стали принимать экстренные меры по блокировке сайтов с уже визуализацией утечки данных;
  • сократили количество сотрудников, которые имеют доступ к приватным данным пользователей; закрыли систему, через которую был получен доступ к данным;
  • разрешат удалять все свои данные из Еды;
  • про компенсацию пользователям ничего не сказали.

1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.

Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:

  • имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
  • номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
  • полный адрес доставки клиента;
  • комментарии к заказу;
  • выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.

22 марта 2022 года в СМИ и различных телеграм-каналах появилась ссылка на сайт с интерактивной картой, на которой нанесены, согласно адресам, данные клиентов из утечки сервиса «Яндекс.Еда».

image

Яндекс в курсе этой ситуации. Компания пояснила, что это не новая утечка, а визуализация данных из утечки, произошедшей в конце февраля.

«Никаких новых инцидентов в сфере информационной безопасности с 1 марта не было. Речь про утечку, о которой «Яндекс.Еда» рассказала 1 марта и тогда же уведомила всех затронутых пользователей по электронной почте», — сообщили в пресс-службе сервиса.

На карте можно найти такие данные клиентов: ФИО, телефон, адрес вплоть до квартиры, электронную почту, суммарную трату в «Еде» за полгода.

23 марта Роскомнадзор сообщил о составлении протокола в отношении ООО «Яндекс.Еда» за нарушение законодательства в области персональных данных по ч. 1 ст. 13.11 КоАП РФ. По протоколу компании грозит штраф в размере от 60 тысяч рублей до 100 тысяч рублей. Точную сумму штрафа определит суд.

В этот же день проект «Сетевые свободы» объявил о начале организации юридической помощи пострадавшим пользователям и организует коллективный иск против «Яндекс.Еды» после массовой утечки данных клиентов.

1 июня 2021 года «Яндекс» открыл доступ пользователям к инструменту для управления своими данными во всех сервисах компании, включая возможность просмотра и полного удаления персональных данных из сервисов «Яндекса». «Яндекс» пояснил, что доступ к инструменту для управления данными появился у всех пользователей в личном кабинете «Яндекс ID» в разделе «Управление аккаунтом». Чтобы получить доступ к новому инструменту, пользователю нужно ввести код подтверждения в качестве дополнительной меры безопасности. Причем этот код высылается на номер телефона, привязанный к аккаунту пользователя
Теги:
Хабы:
Всего голосов 20: ↑20 и ↓0+20
Комментарии79

Другие новости

Истории

Работа

Ближайшие события