31 мая 2022 года Delivery Club после проверки опровергла новую утечку данных и пояснила, что информация о курьерах утекла ранее с клиентскими данными в середине мая.
«Две недели назад служба безопасности Delivery Club обнаружила утечку данных. Опубликованные данные курьеров — часть этого инцидента. Внутреннее расследование показало, что причиной утечки стало внешнее воздействие. Служба безопасности совместно с регулятором продолжает расследование инцидента и реализует комплекс мер по повышению защищенности внутренних систем», — сообщили в пресс-службе Delivery Club.
30 мая по информации экспертов сервиса поиска утечек и мониторинга даркнета DLBI, в открытый доступ были выложены файлы с персональными данными курьеров сервисов доставки «Яндекс.Еда» и Delivery Club.
В файле с базой данных курьеров сервиса «Яндекс.Еда» содержится 700 022 строки. Там есть ФИО, хешированный (bcrypt) пароль и номер телефона (585 298 уникальных номеров).
В файл с данными курьеров сервиса доставки Delivery Club вошли 521 500 строк с ФИО, адресами электронной почты (131 695 уникальных адресов) и номерами телефонов (132 742 уникальных номера).
Яндекс опроверг новую утечку и заявил, что информация о курьерах сервиса доставки «Яндекс.Еда» утекла в конце февраля вместе с данными клиентов.
Delivery Club после появления в СМИ данных по новой утечке заявила, что проверяет информацию об опубликовании в открытом доступе данных и личной информации курьеров.
20 мая 2022 года Delivery Club подтвердила факт утечки данных о заказах пользователей и другой информации о своих клиентах. «Служба безопасности Delivery Club обнаружила утечку данных о совершенных некоторыми пользователями заказах. Данные включают в себя информацию о заказах и не затрагивают банковские реквизиты. Делаем все возможное для предотвращения распространения данных. Мы приносим искренние извинения пользователям», — пояснили в Delivery Club. В компании пообещали после окончания внутреннего расследования по этому инциденту провести дополнительный аудит внутренних систем. Источник, опубликовавший эту утечку, пояснил, что у него есть база на 250 млн строк, а в свободный доступ он открыл только ее часть из 1 011 812 строк.
Роскомнадзор запросил у Delivery Club информацию об утечке данных клиентов сервиса. Ведомство будет в случае подтверждения фактов утечки персональных данных составлять протокол на нарушение и отправит его в суд. Delivery Club грозит административный штраф от 60 тыс. рублей до 100 тыс. рублей за нарушение законодательства в области персональных данных по ч. 1 ст. 13.11 КоАП РФ.
В начале марта аналогичная утечка произошла у Яндекса из-за недобросовестных действий одного из сотрудников. 21 апреля суд по протоколу РКН оштрафовал на 60 тыс. рублей компанию «Яндекс.Еда» за утечку данных пользователей. Следственный комитет РФ возбудил уголовное дело по факту утечки данных пользователей «Яндекс.Еды».
В текущем законодательстве не фиксируется, как долго утечки персональных данных компаний могут признаваться старыми и вообще нет ограничений по пониманию — что именно утекло и в каких объемах. Технически компании могут и через год при появлении новых утечек заявлять, то это старые данные из старых утечек, при условии, что там явно не появляется новая информация о клиентах.
Примечательно, что 29 мая Минцифры согласовало законопроект, ужесточающий ответственность компаний за массовые утечки персональных данных клиентов. Ведомство предлагает ввести для них оборотный штраф в 1% от годового оборота, а в случае выявления попыток скрыть инцидент, увеличить данное административное наказание до 3%. Минцифры считает, что только многомиллионные оборотные штрафы за утечки персональных данных российских пользователей смогут заставить компании усилить безопасность и механизмы хранения ПД.
Сейчас в российском законодательстве нет определения того, что считать утечкой персональных данных, и неясно, какое ведомство и по каким критериям будет проверять, подтверждать и классифицировать утечки данных для оборотных штрафов.
