Яндекс.Еду оштрафовали на 60 000 рублей за утечку ПДн клиентов

Татьяна Никитина 21 Апреля 2022 - 18:33

...

Яндекс.Еду оштрафовали на 60 000 рублей за утечку ПДн клиентов

Мировой суд Замоскворецкого района Москвы ознакомился со свидетельствами, предоставленными Роскомнадзором, и признал «Яндекс.Еду» виновной в утечке клиентских данных. В соответствии с вынесенным решением сервису придется уплатить штраф в размере 60 тыс. рублей.

Как выяснил «Интерфакс», дело «Яндекс.Еды» рассматривалось в рамках ч. 1 ст. 13.11 КоАП (нарушение законодательства при обработке ПДн, от 60 тыс. до 100 тыс. руб. штрафа). Пострадавшие, обратившиеся в суд, требовали по 100 тыс. руб. компенсации.

Утечка, о которой идет речь, произошла в конце февраля; в своем сообщении от 1 марта сервис доставки заявил, что слив ПДн клиентов в Сеть произошел по вине инсайдера. Позднее злоумышленники создали специальный сайт, привязав данные пользователей «Яндекс.Еды» к интерактивной карте.

На этой открытой площадке можно было найти такие сведения, как ФИО, адреса, телефоны, коды домофонов, состав заказов, время доставки. К счастью, регистрационных и платежных данных клиентов в слитой базе «Яндекс.Еды» не оказалось.

По данным «Ъ», от утечки пострадали 58 тыс. пользователей, в том числе сотрудники спецслужб, заказавшие еду в офис на Лубянке. Период, за который были собраны слитые ПДн, — последние полгода.

После инцидента «Яндекс.Еда» сократила число сотрудников с доступом к клиентским данным, исключила обработку такой информации вручную и пообещала наказать инициатора слива. Роскомнадзор тем временем составил административный протокол по факту нарушения законов о персональных данных и направил материалы в суд. Некоторые пострадавшие тоже подали иски, требуя, чтобы сервис заставили возместить ущерб.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Апреля 2026 - 19:09

Атаки на сайты Уязвимости сайтов Взлом сайтов Заражение веб-сайта Домашние пользователи

Десятки WordPress-плагинов оказались с бэкдором после смены владельца

У владельцев сайтов на WordPress новый повод проверить список установленных плагинов. Сразу десятки расширений оказались отключены после того, как в них нашли бэкдор, через который на сайты могла подгружаться вредоносная нагрузка.

По данным основателя Anchor Hosting Остина Гиндера, проблема затронула плагины разработчика Essential Plugin.

После смены владельца в исходный код этих расширений добавили скрытый вредоносный механизм. Несколько месяцев он никак себя не проявлял, а в начале апреля 2026 года активировался и начал использовать сайты с установленными плагинами для распространения вредоносного кода.

Масштаб истории неприятный. На сайте Essential Plugin говорится о 400 тысячах установок и более 15 тысячах клиентов, а данные каталога WordPress указывают, что затронутые плагины использовались как минимум на десятках тысяч активных сайтов. При этом WordPress уже пометил их как «permanent closure», то есть расширения убраны из каталога окончательно.

Особенно тревожно здесь то, что атака выглядела как классическая компрометация цепочки поставок. Пользователь ставит вроде бы привычный и рабочий плагин, а проблема появляется уже после того, как его купил новый владелец и изменил код. Гиндер отдельно обращает внимание, что WordPress не уведомляет администраторов сайтов о смене владельца плагина.

По данным The Next Web и Anchor Hosting, речь шла примерно о 30+ плагинах, а вредоносный код был внедрён ещё в августе 2025 года. Активировался он только спустя около восьми месяцев.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!