По информации «Газета.Ru», следственный комитет РФ по запросу депутатов Госдумы возбудил уголовное дело по факту утечки данных пользователей «Яндекс.Еды».
Издание сообщило, что по результатам проверки фактов утечки персональных данных пользователей сервиса «Яндекс.Еда» Главным следственным управлением Следственного комитета РФ возбуждено уголовное дело по признакам составов преступлений, предусмотренных частью 1 статьи 137 («Нарушение неприкосновенности частной жизни»), частью 3 статьи 272 («Неправомерный доступ к компьютерной информации») и частью 2 статьи 273 («Создание, использование и распространение вредоносных компьютерных программ») Уголовного кодекса Российской Федерации.
Согласно пояснению депутата Госдумы, инициировавшего в СК РФ запрос по этой утечке, в настоящее время осуществляется комплекс следственных действий и оперативно-розыскных мероприятий, направленных на раскрытие указанных деяний и установление лиц, их совершивших.
1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.
Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:
- имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
- номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
- полный адрес доставки клиента;
- комментарии к заказу;
- выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.
22 марта 2022 года в СМИ и различных телеграм-каналах появилась ссылка на сайт с интерактивной картой, на которой нанесены, согласно адресам, данные клиентов из утечки сервиса «Яндекс.Еда». На карте можно найти такие данные клиентов: ФИО, телефон, адрес вплоть до квартиры, электронную почту, суммарную трату в «Еде» за полгода. В настоящее время доступ к этому сайту с картой заблокирован на территории РФ всеми провайдерами по запросам Яндекса.
Яндекс пояснил, что это не новая утечка, а визуализация данных из утечки, произошедшей в конце февраля.
23 марта Роскомнадзор сообщил о составлении протокола в отношении ООО «Яндекс.Еда» за нарушение законодательства в области персональных данных.
В этот же день проект «Сетевые свободы» объявил о начале организации юридической помощи пострадавшим пользователям и организует коллективный иск против «Яндекс.Еды» после массовой утечки данных клиентов.
24 марта (спустя 26 дней после глобальной утечки данных) руководитель сервиса «Яндекс.Еда» Роман Маресов впервые пояснил ситуацию, прокомментировал инцидент и рассказал, что компания сделала не так и почему она так подвела пользователей.
Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом.Кратко из пояснений Маресова:
— руководитель сервиса «Яндекс.Еда» .
- узнали об утечке из СМИ или просто слишком поздно;
- предупредили пользователей;
- приняли меры по распространению утечки, но было поздно;
- через 21 день опять стали принимать экстренные меры по блокировке сайтов с уже визуализацией утечки данных, вплоть до разделегирования доменов с утечкой;
- сократили количество сотрудников, которые имеют доступ к приватным данным пользователей; закрыли систему, через которую был получен доступ к данным;
- разрешат удалять все свои данные из Еды;
- про компенсацию пользователям ничего не сказали.
25 марта 2022 года суд Москвы получил протокол от Роскомнадзора на сервис «Яндекс.Еда», зарегистрировал дело №05-0413/101/2022 об административном правонарушении, а также назначил дату заседания — 21 апреля. Согласно описанию дела, ООО «Яндекс.Еда» нарушило законодательство в области персональных данных по ч. 1 ст. 13.11 КоАП РФ. Компании грозило административное наказание до 100 тысяч рублей.
21 апреля Мировой судья судебного участка района Замоскворечье в Москве оштрафовал на 60 тыс. рублей компанию «Яндекс.Еда» за утечку данных пользователей.
