Как стать автором
Обновить

СМИ: СК возбудил второе уголовное дело по факту разглашения личных данных пользователей «Яндекс.Еды»

Время на прочтение5 мин
Количество просмотров3.3K
image

Следственный комитет РФ по запросу депутата Госдумы возбудил второе уголовное дело по факту разглашения личных данных пользователей и курьеров сервиса «Яндекс.Еда».

«Уголовное дело возбуждено по запросу депутата Госдумы Михаила Романова по трём статьям УК РФ: ч.1 ст.137 («Нарушение неприкосновенности частной жизни»), ч.3 ст.272 («Неправомерный доступ к компьютерной информации»); ч.2 ст.273 («Создание, использование и распространение вредоносных компьютерных программ»)», — пояснил адвокат Саркис Дарбинян СМИ. Юрист добавил, что в СК направлено заявление о признании пользователей сервиса потерпевшими по уголовному делу по факту утечки данных.

Представитель комитета Госдумы по контролю и регламенту Михаил Романов пояснил СМИ, что «по факту утечки персональных данных „Яндекс.Еды“ возбуждено два уголовных дела».

Первое уголовное дело по результатам проверки фактов утечки персональных данных пользователей сервиса «Яндекс.Еда» СК по тем же трём статьям УК РФ возбудил в конце апреля. Согласно пояснению депутата Госдумы, инициировавшего в СК РФ запрос по этой утечке, следственные органы начали комплекс следственных действий и оперативно-розыскных мероприятий, направленных на раскрытие указанных деяний и установление лиц, их совершивших.

2 августа суд повторно оштрафовал «Яндекс.Еду» на 60 тыс. руб. за утечку персональных данных. Теперь административное наказание было наложено за инцидент с утечкой информации о курьерах.

Фактически «Яндекс» получил второй административный штраф за одну ту же утечку, как заверяет компания. Данное наказание могло быть от 60 тыс. рублей до 100 тыс. рублей за нарушение законодательства в области персональных данных по ч. 1 ст. 13.11 КоАП РФ. Суд выбрал нижнюю рамку по штрафу.

Общий суммарный штраф (первый штраф за эту утечку, но за данные клиентов тоже был 60 тыс. рублей) по этой глобальной утечке с более чем 50 млн. строк с ПД клиентов и курьеров составил 120 тыс. рублей.

11 июля московский суд зарегистрировал протокол от Роскомнадзора на «Яндекс.Еду» по поводу утечки данных курьеров.

«Роскомнадзор составил и передал в суд административный протокол в отношении ООО „Яндекс.Еда“ за предоставление неправомерного доступа к информационной системе персональных данных, что привело к незаконному распространению персональных данных курьеров сервиса», — сообщили СМИ в РКН.

30 мая 2022 года Яндекс опроверг новую утечку данных и пояснил, что информация о курьерах сервиса доставки «Яндекс.Еда» утекла в конце февраля вместе с данными клиентов.
Речь идет о той же утечке, о которой мы сообщили 1 марта. Наша служба безопасности изучила фрагмент опубликованной базы и подтвердила, что данные о партнерах, которые доставляют заказы, оказались в руках злоумышленников одновременно с данными о заказах. Новых инцидентов мы не фиксировали.

С того момента все системы Яндекс Еды прошли многоуровневый аудит безопасности, ужесточены политики хранения данных, ограничено число сотрудников, которые имеют доступ к чувствительной информации.

Злоумышленники не смогут получить доступ к аккаунтам курьеров, хэши паролей из утечки относятся к деактивированному приложению, которое давно не используется.

Мы предпринимаем все возможное для предотвращения распространения данных – добиваемся блокировки ресурсов злоумышленников и их разделегирования.
В конце мая по информации экспертов сервиса поиска утечек и мониторинга даркнета DLBI, в открытый доступ были выложены файлы с персональными данными курьеров сервисов доставки «Яндекс.Еда».



В файле с базой данных курьеров сервиса «Яндекс.Еда» содержится 700 022 строки. Там есть ФИО, хешированный (bcrypt) пароль и номер телефона (585 298 уникальных номеров). Экспертам было непонятно, когда произошла утечка. Предположительно, что по времени это может быть апрель или ранее.

Примечательно, что Яндекс в двух официальных публикациях об утечке (1 и 2), произошедшей в конце февраля, не предупреждал и не информировал общественность, что утекли данные курьеров. Тогда компания заявляла, что пострадали только клиенты сервиса, и утекли только данные их заказов.
Об утечке мы узнали 28 февраля. Утёкшая информация — массив из нескольких миллионов строк, в которых содержались сведения о заказах из Яндекс Еды. Это адреса, номера телефонов, имена — в том виде, в каком они указаны в сервисе, — а также даты, время и стоимость заказов. Утечки логинов, паролей и данных банковских карт не было, эта информация в безопасности.
1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.

Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:

  • имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
  • номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
  • полный адрес доставки клиента;
  • комментарии к заказу;
  • выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.

22 марта 2022 года в СМИ и различных телеграм-каналах появилась ссылка на сайт с интерактивной картой, на которой нанесены, согласно адресам, данные клиентов из утечки сервиса «Яндекс.Еда». На карте можно найти такие данные клиентов: ФИО, телефон, адрес вплоть до квартиры, электронную почту, суммарную трату в «Еде» за полгода. В настоящее время доступ к этому сайту с картой заблокирован на территории РФ всеми провайдерами по запросам Яндекса.

image

Яндекс пояснил, что это не новая утечка, а визуализация данных из утечки, произошедшей в конце февраля.

23 марта Роскомнадзор сообщил о составлении протокола в отношении ООО «Яндекс.Еда» за нарушение законодательства в области персональных данных.

В этот же день проект «Сетевые свободы» объявил о начале организации юридической помощи пострадавшим пользователям и организует коллективный иск против «Яндекс.Еды» после массовой утечки данных клиентов.

24 марта (спустя 26 дней после глобальной утечки данных) руководитель сервиса «Яндекс.Еда» Роман Маресов впервые пояснил ситуацию, прокомментировал инцидент и рассказал, что компания сделала не так и почему она так подвела пользователей.
Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом.
— руководитель сервиса «Яндекс.Еда» .
Кратко из пояснений Маресова:

  • узнали об утечке из СМИ или просто слишком поздно;
  • предупредили пользователей;
  • приняли меры по распространению утечки, но было поздно;
  • через 21 день опять стали принимать экстренные меры по блокировке сайтов с уже визуализацией утечки данных, вплоть до разделегирования доменов с утечкой;
  • сократили количество сотрудников, которые имеют доступ к приватным данным пользователей; закрыли систему, через которую был получен доступ к данным;
  • разрешат удалять все свои данные из Еды;
  • про компенсацию пользователям ничего не сказали.

25 марта 2022 года суд Москвы получил протокол от Роскомнадзора на сервис «Яндекс.Еда», зарегистрировал дело №05-0413/101/2022 об административном правонарушении, а также назначил дату заседания — 21 апреля. Согласно описанию дела, ООО «Яндекс.Еда» нарушило законодательство в области персональных данных по ч. 1 ст. 13.11 КоАП РФ. Компании грозило административное наказание до 100 тысяч рублей.

21 апреля Мировой судья судебного участка района Замоскворечье в Москве оштрафовал на 60 тыс. рублей компанию «Яндекс.Еда» за утечку данных пользователей.
Теги:
Хабы:
Всего голосов 2: ↑2 и ↓0+2
Комментарии9

Другие новости

Истории

Работа

Ближайшие события

15 – 16 ноября
IT-конференция Merge Skolkovo
Москва
22 – 24 ноября
Хакатон «AgroCode Hack Genetics'24»
Онлайн
28 ноября
Конференция «TechRec: ITHR CAMPUS»
МоскваОнлайн
25 – 26 апреля
IT-конференция Merge Tatarstan 2025
Казань