Сообщается о публикации данных 30 млн клиентов «Яндекс. Еды», однако всё намного хуже.

Вчера вечером, 22 марта, в нескольких телеграм-каналах появилась ссылка на «базу данных пользователей сервиса «Яндекс. Eда». Среди выложенной информации — имена или полные ФИО, адреса, телефоны, e-mail-ы и суммы трат в сервисе за последние полгода. Данные были визуализированы по адресам: наложены на карту.

К утру 23 марта доступ к сервису был заблокирован на территории РФ.

Однако тесты iFreedomLab показали, что выложенная база данных несомненно включает гораздо более широкий спектр данных о гражданах России, нежели информация одной только «Яндекс.Еды», и, скорее всего, за гораздо больший срок, чем полгода.

Так же мы бы отметили данные из загранпаспортов, коды домофонов, множественные данные по одному лицу (несколько адресов, номеров телефонов, е-мейлов (например, рабочие и домашние)).

Впрочем, на самом теперь уже заблокированном сервисе было написано так:

После начала военной спецоперации России на Украине, в результате массовых кибер атак на веб ресурсы РФ множество личных данных было незаконно выложено в сеть.

Мы публикуем базу с персональной информацией россиян, которой могут воспользоваться с целью запугивания и обмана.

Вы можете проверить по телефону или фамилии, какая информация есть у преступников, чтобы понимать риски. 

А озаглавлен он следующим образом:

Проверка номера телефона или фамилии из слитых баз данных.

Так что, вероятно, речь идет о гораздо более масштабной и консолидированной базе данных по гражданам Российской Федерации, составленной помимо информации «Яндекс-Еды» из нескольких других источников — неизвестно скольких и за какое время (по нашим тестам, глубина некоторых данных — до 2-х лет).

Также на заблокированном сервисе предлагается удалить свои данные из публичной базы, позвонив по номеру указанного телефона, однако это не работает.

Что же касается утечки данных из «Яндекс. Еды», то о ней сообщила сама компания еще 1 марта, рассказав о недобросовестном сотруднике, и поспешила заверить, что банковские, платежные и регистрационные (логины и пароли) данные клиентов скомпрометированы не были. В компании заверили, что по итогам внутренней проверки ужесточили подход к хранению чувствительной информации, а в отношении виновного в утечке сотрудника обещали принять установленные законом меры. Кроме того, «Яндекс Еда» сообщала, что обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и собиралась сделает всё для того, чтобы предотвратить распространение информации. Как видим, неудачно.

Самое печальное в этой ситуации, по мнению iFreedomLab, – это появление очевидно актуальной и полной информации об огромном количестве граждан страны. Хорошая визуализация уже породила целую волну шуток в Рунете: пользователи изучали соседей, смотрели данные знакомых и искали на карте самые необычные места заказов. Такая обширная информационная база, безусловно, катастрофически нарушает право на частную жизнь миллионов жителей России и дает просто широчайшие возможности для мошенников, хулиганов и неуравновешенных личностей всех мастей для совершения как противоправных, так и просто нервирующих действий.