Эксперт пояснил, почему из-за утечки «Яндекс.Еды» были возбуждены уголовные дела
Эксперт пояснил, почему из-за утечки «Яндекс.Еды», куда попали адреса клиентов, номера телефоны, электронная почта и суммы заказов за последние полгода, были возбуждены два уголовных дела, хотя по другим утечкам в этом году остальные компании, где произошёл инцидент, получали только административные штрафы до 100 тыс. рублей.
Эксперт в сфере информационной безопасности рассказал СМИ, что в основном утечки в российских компаниях происходят из-за проблем с уязвимостями в системах защиты, неправильной настройки серверов и систем хранения, в случае хакерских атак или инсайда с умышленными намерениями. По его мнению, в «Яндексе» произошло как раз последнее. В уголовных делах по этой утечке именно сотрудник компании (или группа лиц, причастных к инциденту), который совершил акт копирования и передачи данных клиентов третьим лицам, будет основным подозреваемым.
Уголовные дела по факту разглашения личных данных пользователей «Яндекс.Еды» возбуждены по трём статьям УК РФ: ч.1 ст.137 («Нарушение неприкосновенности частной жизни»), ч.3 ст.272 («Неправомерный доступ к компьютерной информации»); ч.2 ст.273 («Создание, использование и распространение вредоносных компьютерных программ»). Максимальным наказанием за эти правонарушения является лишение свободы на срок до пяти лет.
Представители «Яндекса» сообщили СМИ, что в курсе уголовных дел по утечке «Яндекс.Еды». В компании сотрудничают с правоохранительными органами по этой ситуации.
Юристы и представители IT-отрасли считают, что следствие потребует привлечь к ответственности за эту утечку специалиста компании. Но это будет только начало. После оглашения приговора по этим делам против «Яндекса», пострадавшие клиенты также смогут подать иски в Высший арбитражный суд против компании по статьям о нарушении неприкосновенности и предоставлении неправомерного доступа к информации. Тогда в качестве подозреваемых могут быть уже должностные лица компании, отвечающие за безопасность и конфиденциальность, если «Яндекс» не пойдёт на мировую по этим искам и не согласится выплатить компенсацию пострадавшим клиентам в досудебном порядке. В противном случае компании и её сотрудникам могут грозить значительные штрафы.
Хронология по реагированию на утечку «Яндекс.Еды» со стороны компании и надзорных ведомств
В начале августа Следственный комитет РФ по запросу депутата Госдумы возбудил второе уголовное дело по факту разглашения личных данных пользователей и курьеров сервиса «Яндекс.Еда».
2 августа суд повторно оштрафовал «Яндекс.Еду» на 60 тыс. руб. за утечку персональных данных. Второе административное наказание было наложено за инцидент с утечкой информации о курьерах.
11 июля московский суд зарегистрировал протокол от Роскомнадзора на «Яндекс.Еду» по поводу утечки данных курьеров.
30 мая 2022 года Яндекс опроверг новую утечку данных и пояснил, что информация о курьерах сервиса доставки «Яндекс.Еда» утекла в конце февраля вместе с данными клиентов.
Первое уголовное дело по результатам проверки фактов утечки персональных данных пользователей сервиса «Яндекс.Еда» СК по тем же трём статьям УК РФ возбудил в конце апреля. Согласно пояснению депутата Госдумы, инициировавшего в СК РФ запрос по этой утечке. Следственные органы тогда начали комплекс следственных действий и оперативно-розыскных мероприятий, направленных на раскрытие указанных деяний и установление лиц, их совершивших.
21 апреля Мировой судья судебного участка района Замоскворечье в Москве оштрафовал на 60 тыс. рублей компанию «Яндекс.Еда» за утечку данных пользователей.
В марта в суд были поданы два коллективных иска на «Яндекс.Еду» из-за утечки персональных данных пользователей. В апреле иском уже стало три.
24 марта (спустя 26 дней после глобальной утечки данных) руководитель сервиса «Яндекс.Еда» Роман Маресов впервые пояснил ситуацию, прокомментировал инцидент и рассказал, что компания сделала не так и почему она так подвела пользователей.
23 марта Роскомнадзор сообщил о составлении протокола в отношении ООО «Яндекс.Еда» за нарушение законодательства в области персональных данных.
22 марта 2022 года в СМИ и различных телеграм-каналах появилась ссылка на сайт с интерактивной картой, на которой нанесены, согласно адресам, данные клиентов из утечки сервиса «Яндекс.Еда». На карте можно найти такие данные клиентов: ФИО, телефон, адрес вплоть до квартиры, электронную почту, суммарную трату в «Еде» за полгода. Яндекс пояснил, что это не новая утечка, а визуализация данных из утечки, произошедшей в конце февраля.
1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.
Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:
- имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
- номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
- полный адрес доставки клиента;
- комментарии к заказу;
- выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.