24 марта 2022 года спустя 26 дней после глобальной утечки руководитель сервиса «Яндекс.Еда» Роман Маресов впервые пояснил ситуацию, прокомментировал инцидент и рассказал, что компания сделала не так и почему она так подвела пользователей.
Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом. В последние два дня мне самому пришло много вопросов от родственников и друзей. Я пишу этот текст, чтобы рассказать всем, что произошло, что мы делаем сейчас и что планируем делать дальше.Кратко из вышесказанного:
Об утечке мы узнали 28 февраля. Утёкшая информация — массив из нескольких миллионов строк, в которых содержались сведения о заказах из Яндекс Еды. Это адреса, номера телефонов, имена — в том виде, в каком они указаны в сервисе, — а также даты и время заказов. Утечки логинов, паролей и данных банковских карт не было, эта информация в безопасности.
Мы решили, что необходимо первым делом предупредить пользователей. На следующий день, 1 марта, команда Еды начала рассылать письма тем, чьи данные оказались скомпрометированы.
22 марта злоумышленники запустили сайт с визуализацией — они привязали данные пользователей Яндекс Еды к интерактивной карте. При этом на сайте можно найти сведения, которых не было в массиве: например, ФИО и адреса электронной почты. Это означает, что создатели сайта скомпоновали данные Еды с данными, утёкшими из других компаний.
Когда утечка произошла и данные обнародованы, всё, что тебе остаётся, — пытаться не дать им распространиться дальше. Это ровно то, что делает Яндекс Еда. Мы добиваемся блокировки сайтов и каналов, которые публикуют данные. Мы связываемся с регистраторами и облачными хранилищами — чтобы разделегировать домены и удалить файлы с информацией о заказах. К 23 марта большинство провайдеров уже заблокировали ресурсы, которые распространяли утёкшую информацию, — они недоступны на территории РФ.
Февральская утечка — беспрецедентный случай для Яндекса, который считает сохранность данных пользователей высшим приоритетом. Мы извлекли из этого много уроков, хотя и предпочли бы получить их менее суровым путём.
За прошедшие недели команда Еды свела к минимуму количество сотрудников, которые имеют доступ к приватным данным. Мы уже переносим эти данные в более защищённое хранилище и будем тщательно следить за тем, чтобы они не покидали безопасный контур. Мы закрыли систему, через которую был получен доступ к данным, провели полный аудит безопасности и изменили график регулярных проверок — теперь они будут проводиться чаще. Да, эти меры следовало принять раньше, но, к сожалению, машину времени ещё не придумали.
В скором времени мы подключим Еду к инструменту для управления данными, который Яндекс запустил в прошлом году. С его помощью можно посмотреть, какие данные о вас накопили разные сервисы, и при желании удалить их раз и навсегда.
Расследование утечки всё ещё продолжается. Яндекс проводит внутренние проверки и сотрудничает с регуляторами и правоохранительными органами. Если вас затронула утечка и у вас есть вопросы, напишите нам на горячую линию helpme@eda.yandex.ru.
— написал пользователям Роман Маресов, руководитель «Яндекс.Еды»
- узнали об утечке из СМИ или просто слишком поздно;
- предупредили пользователей;
- приняли меры по распространению утечки, но было поздно;
- через 21 день опять стали принимать экстренные меры по блокировке сайтов с уже визуализацией утечки данных;
- сократили количество сотрудников, которые имеют доступ к приватным данным пользователей; закрыли систему, через которую был получен доступ к данным;
- разрешат удалять все свои данные из Еды;
- про компенсацию пользователям ничего не сказали.
1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.
Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:
- имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
- номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
- полный адрес доставки клиента;
- комментарии к заказу;
- выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.
22 марта 2022 года в СМИ и различных телеграм-каналах появилась ссылка на сайт с интерактивной картой, на которой нанесены, согласно адресам, данные клиентов из утечки сервиса «Яндекс.Еда».
Яндекс в курсе этой ситуации. Компания пояснила, что это не новая утечка, а визуализация данных из утечки, произошедшей в конце февраля.
«Никаких новых инцидентов в сфере информационной безопасности с 1 марта не было. Речь про утечку, о которой «Яндекс.Еда» рассказала 1 марта и тогда же уведомила всех затронутых пользователей по электронной почте», — сообщили в пресс-службе сервиса.
На карте можно найти такие данные клиентов: ФИО, телефон, адрес вплоть до квартиры, электронную почту, суммарную трату в «Еде» за полгода.
23 марта Роскомнадзор сообщил о составлении протокола в отношении ООО «Яндекс.Еда» за нарушение законодательства в области персональных данных по ч. 1 ст. 13.11 КоАП РФ. По протоколу компании грозит штраф в размере от 60 тысяч рублей до 100 тысяч рублей. Точную сумму штрафа определит суд.
В этот же день проект «Сетевые свободы» объявил о начале организации юридической помощи пострадавшим пользователям и организует коллективный иск против «Яндекс.Еды» после массовой утечки данных клиентов.
1 июня 2021 года «Яндекс» открыл доступ пользователям к инструменту для управления своими данными во всех сервисах компании, включая возможность просмотра и полного удаления персональных данных из сервисов «Яндекса». «Яндекс» пояснил, что доступ к инструменту для управления данными появился у всех пользователей в личном кабинете «Яндекс ID» в разделе «Управление аккаунтом». Чтобы получить доступ к новому инструменту, пользователю нужно ввести код подтверждения в качестве дополнительной меры безопасности. Причем этот код высылается на номер телефона, привязанный к аккаунту пользователя