29 августа 2022 года в открытый доступ попала часть базы данных пользователей онлайн-платформы CDEK.Shopping (19 839 строк), а также маркетплейса «СДЭК.Маркет» (100 тыс. строк).
Неизвестный хакер выложил дамп базы данных CDEK.Shopping с почти 20 тыс. строкам, где есть такая информация:
- имя пользователя;
- хэшированный пароль;
- дата рождения;
- электронная почта;
- номер телефона;
- служебная информация, включая дату активации аккаунта.
Судя по логам, база выгружена 15 августа.
Согласно анализу инцидента от экспертов сервиса поиска утечек и мониторинга даркнета DLBI, в дампе базы данных «СДЭК.Маркет» содержится 100 тыс. строк с информацией:
- имя и фамилия пользователя;
- хэшированный пароль;
- логин;
- электронная почта;
- номер телефона;
- служебная информация, включая дату активации аккаунта.
В начале мая CDEK открыла новый сервис по заказу товаров из-за границы CDEK.Shopping. На платформу после начала её работы почти сразу начали жаловаться пользователи. CDEK тогда пояснила, что задержка поставок товаров, заказанных из-за границы через сервис CDEK.Shopping, связана с изменившимися внешними обстоятельствами, превратившими доставку в «логистический квест». В июне клиенты сервиса попросили МВД проверить работу CDEK.Shopping, так как платформа не выполняла заказы.
Это не первая утечка от CDEK.
15 июля CDEK сообщила, что начала расследование возможной новой утечки персональных данных миллионов клиентов (физлиц и юрлиц) и нескольких десятков тысяч контрагентов.
14 июля эксперты сервиса поиска утечек и мониторинга даркнета DLBI рассказали, что в открытый доступ попали три новых файла с данными клиентов СДЭК, включая:
- файл client.csv с 161,7 млн строк, содержащих информацию о 329 382 отправлениях (там указаны ФИО получателя, адрес эл. почты получателя, название компании отправителя, идентификатор отправителя/получателя, код пункта самовывоза);
- файл contragent.csv с 30 129 288 строками с информацией о физических и юридических лицах (ФИО/название компании на русском и англ. языках, телефон, адрес эл. почты, почтовый адрес, дата создания/обновления записи). Судя по датам из этого файла, данный дамп базы был сделан 5 июля 2022 года;
- файл phone.csv с 92 610 884 строками с номерами телефонов, идентификаторами отправителя/получателя (через эти идентификаторы есть связь с данными из файла client.csv). После удаления дублей там остаётся 24,7 млн номеров телефонов.
25 февраля произошла другая утечка в CDEK. В распространяемых тогда двух файлах содержалась такая информация: в одном файле содержалось 466 млн строк о клиентах: ID в системе, номер телефона; во втором было 822 млн строк с ID, ФИО и адресом электронной почты.
В июне клиенты сервиса доставки CDEK подали к компании коллективный иск на 2,2 млн рублей за утечку персональных данных в конце февраля. Истцами стали 22 пользователя, а ещё более 100 человек отправили заявки на присоединение к иску. Согласно исковому заявлению, каждый пострадавший потребовал моральной компенсации в размере 100 тыс. рублей.
