Сервис «Яндекс.Еда» оштрафован на 60 тыс. рублей за утечку данных. Пользователи получили от «Яндекса» инструкции, как вести себя при поступлении звонков с неизвестных номеров. Однако ущерб от этой утечки может оказаться значительно выше.
- Введение
- Клиенты «Яндекс.Еды» пострадали
- Расследование утечки и наказание
- Пострадавшие клиенты потребовали компенсацию
- На пользовательские данные много охотников
- Выводы
Введение
До сих пор многие в России усматривают в утечках данных только угрозу для репутации компании и риски попасть в рекламные почтовые рассылки или телефонные обзвоны. Спустя некоторое время, если ничего не произошло, обычно забывают об инциденте.
Среди наиболее известных происшествий последнего времени можно вспомнить пример утечки данных из «Сбера» в 2019 году. Тогда в публичный доступ попала информация о 200 клиентах банка. Это были сведения о транзакциях, количество атрибутов для идентификации клиентов было ограничено, точное число пострадавших так и не было выявлено.
Хакеры, укравшие данные, заявили тогда, что у них есть «миллион строк», за которые они хотели получить выкуп. В качестве доказательства «компромата» была обнародована небольшая часть данных. Реальный объём украденных данных так и не был назван официально. Известно только, что в «Сбере» и ряде других банков («ЮниКредит», «Открытие» и ВТБ) были введены ограничения на съёмку экранов компьютеров с помощью личных мобильных телефонов. Сам «Сбер» выплатил «пострадавшим» моральную компенсацию. В результате пользователи быстро забыли об инциденте, посчитав, что он исчерпан.
Перенесёмся теперь в наши дни.
Клиенты «Яндекс.Еды» пострадали
25 февраля 2022 года на форуме raidforums.com появилась информация, что в Сеть попали данные оператора экспресс-доставки документов и грузов СДЭК. Это произошло на следующий день после начала операции на Украине, поэтому многие решили, что видят перед собой какой-то фейк или случайную утечку. Сообщалось, что речь идёт о данных российских и украинских клиентов сервиса «Яндекс.Еда». В выдачу попали два крупных архивных файла общим объёмом 30 ГБ. В них содержались транзакционные данные объёмом 466 и 822 млн строк по клиентам из России и Украины соответственно.
Рисунок 1. Информация об источнике, где появились сведения об утечке из сервиса «Яндекс.Еда». Источник: whois.com
Три дня спустя СДЭК опубликовала подтверждение этой информации, сообщив, что утечка произошла в результате серии хакерских атак. Оператор постарался смягчить удар, заявив, что попавшие в интернет данные ограничены и среди них нет адресов доставки. Как оказалось позднее, «недостающие сведения» скоро появились в Сети.
Сайт был зарегистрирован с Кипра. Роскомнадзор не стал долго ждать и внёс raidforums.com в реестр заблокированных ресурсов. Позднее сайт стал недоступен глобально, но данные уже успели «уплыть» в сеть.
Рисунок 2. Визуализированная карта 58 000 адресов из украденной выдачи. Источник: «Тинькофф Журнал»
Вероятно, информация о краже так и осталась бы известной «только специалистам», но 27 февраля на портале Data Leakage & Breach Intelligence (DLBI) — сетевом сервисе, где отслеживаются сведения об утечках, публикуемых в даркнете — появились ссылки на дампы памяти. Они содержали SQL-выборки о заказах в сервисе доставки «Яндекс.Еда».
В этих архивах содержались уже полные данные клиентов, с именами и фамилиями, номерами телефонов, адресами доставки и комментариями. В выгрузку попали заказы, сделанные с 19.06.2021 по 04.02.2022. В архиве оказалось в общей сложности 49 441 507 (49,4 млн) строк. Подсчёт уникальных номеров показал следующие результаты: 6 882 230 телефонных номеров из России (почти все регионы) и Казахстана, 206 725 номеров из Беларуси.
Рисунок 3. Пример выдачи дампа памяти сервиса «Яндекс.Еда» из даркнета. Источник: Dataleak
Расследование утечки и наказание
1 марта «Яндекс» опубликовал пресс-релиз. В нём была названа причина утечки: недобросовестные действия одного из сотрудников. По данным службы, в результате утечки не было компрометации банковских, платёжных или регистрационных данных пользователей сервиса.
Позднее стало известно, что в «Яндексе» была проведена внутренняя проверка. Её итогом стало серьёзное ужесточение подхода к хранению конфиденциальной информации, в том числе связанной с заказами клиентов.
«Яндекс» выступил с заверениями, что теперь его данным обеспечен необходимый уровень защиты, сопоставимый с таковым для платёжных сведений. Были устранены все этапы в технологической цепочке, связанные с обработкой информации вручную. Проведена реорганизация политик доступа. Это позволило сократить число работников, имеющих доступ к данным, в три раза.
«Яндекс» пообещал, что в отношении виновного сотрудника будут приняты законные меры. Было также обещано, что в адрес всех, кого коснулась утечка, будет направлено письмо с подробными инструкциями относительно смягчения угроз. Сервис принёс извинения пользователям и предложил им скидку в 20 %, которая была доступна в течение двух недель.
23 марта Роскомнадзор составил административный протокол за нарушение российского законодательства в сфере персональных данных по ч. 1 ст. 13.11 КоАП РФ (максимальный штраф — 100 000 руб.). Дело было направлено в мировой суд г. Москвы. После рассмотрения дела «Яндекс.Еда» была оштрафована на 60 тысяч рублей. Об этом 21 апреля сообщило ТАСС.
24 марта руководитель сервиса Роман Маресов сообщил, что пользователи сервиса смогут теперь удалять персональные данные из приложения.
Пострадавшие клиенты потребовали компенсацию
Но история вокруг утечки данных в «Яндекс.Еде», как оказалось, не закончилась. Ещё в марте в Замоскворецкий районный суд г. Москвы был подан коллективный иск от 33 пострадавших пользователей. Интересы заявителей взялся представлять юридический сервис Destra Legal.
В исковом заявлении было указано, что инцидент был связан с нарушением п. 2 ст. 17 федерального закона «О персональных данных». Из его положений следовало, что пользователи, передавшие оператору персональных данных свою информацию, имеют право на обжалование его действий или бездействия, а также на возмещение убытков и компенсацию морального вреда в судебном порядке. Заявители потребовали через суд компенсацию в размере 100 000 руб. на каждого.
В своём иске заявители указывали, что после инцидента им стали поступать звонки с незнакомых номеров. Содержание звонков касалось предложения различных рекламных услуг.
Дело в настоящее время находится на рассмотрении, хотя в базе суда оно отсутствовало на момент публикации материала в «Ведомостях». В пресс-службе суда заявили, что иск пока не был зарегистрирован (21 апреля).
На пользовательские данные много охотников
К настоящему времени в сети уже появились рекомендации «Яндекс.Еды» для пострадавших пользователей сервиса. Казалось, здесь-то всё и закончится. Но далее последовало то, чего многие не ожидали. К использованию утекших данных подключились частные исследователи. Некоторые из них уже успели опубликовать свои результаты.
К «комичным» результатам следует отнести то, что, по данным «Яндекс.Еды», пользователи смартфонов Apple заказывают пиццу в два раза чаще, чем пользователи Android-смартфонов.
Но более серьёзные результаты опубликовало голландское агентство Bellingcat (признано иностранным агентом в России). Его сотрудники, помимо прочего, обнаружили в утекших данных потенциальные «привязки», которые они могут использовать в проводимых ими «расследованиях». Это — номера телефонов, адреса заказа пиццы, время нахождения по определённому адресу и пр. Это агентство известно тем, что занимается исследовательскими проектами, в том числе в адрес сотрудников ГРУ и МО РФ.
Например, Bellingcat сообщили, что сумели «вычислить» находящегося в их разработке сотрудника ГРУ, который воспользовался для регистрации заказа пиццы своим рабочим адресом электронной почты. Используя данные о GPS-координатах места доставки, Bellingcat «вычислили» контактные данные для 20 сотрудников ФСБ России, работающих в Центре специальных операций в Москве.
Более того, используя оставленные при заказе комментарии, в Bellingcat узнали подсказки для водителей службы доставки. В них содержались инструкции, не подлежащие публичному разглашению, такие как количество шлагбаумов и контрольно-пропускных пунктов на пути к закрытой проходной, инструкции для связи по звонку на месте прибытия и пр.
Заявляется, что исследователи группы Bellingcat смогли найти данные, связанные с личной жизнью Президента РФ; эти данные также не подлежат публичной огласке.
Кроме того, сообщалось о выявлении персональных данных высокопоставленного сотрудника ГРУ, который делал заказ в Консульской службе МИД РФ. Он известен группе по тому, что пользуется люксовым автомобилем, зарегистрированным в Московской области, причём этот автомобиль попадал в поле зрения камер видеонаблюдения в Киеве в 2019 году.
Выводы
В последнее время участились случаи компрометации данных. Многие утечки инициируются сотрудниками компаний или фрилансерами, которые работают удалённо. Утечки могут возникать как сознательно, так и по невнимательности и без злого умысла. Но они могут также появляться вследствие хакерских атак, количество которых резко возросло в России в последнее время.
Если раньше утёкшие данные чаще всего использовались для получения выкупа, то теперь они применяются для дезинформации населения, психологического давления или шантажа, сбора разведывательных сведений.
Компании — операторы персональных данных проявляют бдительность и оптимизируют свои производственные процессы, чтобы избежать инцидентов. Однако уследить за всеми случаями «нецелевого» использования украденной информации сложно.
