Роскомнадзор передал в суд второй протокол на сервис «Яндекс.Еда» за утечку персональных данных, теперь — курьеров12.07.2022 15:46

image

11 июля московский суд зарегистрировал протокол от Роскомнадзора на «Яндекс.Еду» по поводу утечки данных курьеров.
Фактически «Яндексу» грозит второй административный штраф за одну ту же утечку, как заверяет компания, от 60 тыс. рублей до 100 тыс. рублей за нарушение законодательства в области персональных данных по ч. 1 ст. 13.11 КоАП РФ. По этому административному делу суд назначил заседание на 2 августа.

«Роскомнадзор составил и передал в суд административный протокол в отношении ООО «Яндекс.Еда» за предоставление неправомерного доступа к информационной системе персональных данных, что привело к незаконному распространению персональных данных курьеров сервиса», — сообщили СМИ в РКН.

30 мая 2022 года Яндекс опроверг новую утечку данных и пояснил, что информация о курьерах сервиса доставки «Яндекс.Еда» утекла в конце февраля вместе с данными клиентов.

Речь идет о той же утечке, о которой мы сообщили 1 марта. Наша служба безопасности изучила фрагмент опубликованной базы и подтвердила, что данные о партнерах, которые доставляют заказы, оказались в руках злоумышленников одновременно с данными о заказах. Новых инцидентов мы не фиксировали.

С того момента все системы Яндекс Еды прошли многоуровневый аудит безопасности, ужесточены политики хранения данных, ограничено число сотрудников, которые имеют доступ к чувствительной информации.

Злоумышленники не смогут получить доступ к аккаунтам курьеров, хэши паролей из утечки относятся к деактивированному приложению, которое давно не используется.

Мы предпринимаем все возможное для предотвращения распространения данных — добиваемся блокировки ресурсов злоумышленников и их разделегирования.

В конце мая по информации экспертов сервиса поиска утечек и мониторинга даркнета DLBI, в открытый доступ были выложены файлы с персональными данными курьеров сервисов доставки «Яндекс.Еда».

aivrtot_j8-0z86hkxp7sz2jaig.jpeg

В файле с базой данных курьеров сервиса «Яндекс.Еда» содержится 700 022 строки. Там есть ФИО, хешированный (bcrypt) пароль и номер телефона (585 298 уникальных номеров). Экспертам было непонятно, когда произошла утечка. Предположительно, что по времени это может быть апрель или ранее.

Примечательно, что Яндекс в двух официальных публикациях об утечке (1 и 2), произошедшей в конце февраля, не предупреждал и не информировал общественность, что утекли данные курьеров. Тогда компания заявляла, что пострадали только клиенты сервиса, и утекли только данные их заказов.

Об утечке мы узнали 28 февраля. Утёкшая информация — массив из нескольких миллионов строк, в которых содержались сведения о заказах из Яндекс Еды. Это адреса, номера телефонов, имена — в том виде, в каком они указаны в сервисе, —, а также даты, время и стоимость заказов. Утечки логинов, паролей и данных банковских карт не было, эта информация в безопасности.

1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.

Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:

  • имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
  • номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
  • полный адрес доставки клиента;
  • комментарии к заказу;
  • выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.


22 марта 2022 года в СМИ и различных телеграм-каналах появилась ссылка на сайт с интерактивной картой, на которой нанесены, согласно адресам, данные клиентов из утечки сервиса «Яндекс.Еда». На карте можно найти такие данные клиентов: ФИО, телефон, адрес вплоть до квартиры, электронную почту, суммарную трату в «Еде» за полгода. В настоящее время доступ к этому сайту с картой заблокирован на территории РФ всеми провайдерами по запросам Яндекса.

image

Яндекс пояснил, что это не новая утечка, а визуализация данных из утечки, произошедшей в конце февраля.

23 марта Роскомнадзор сообщил о составлении протокола в отношении ООО «Яндекс.Еда» за нарушение законодательства в области персональных данных.

В этот же день проект «Сетевые свободы» объявил о начале организации юридической помощи пострадавшим пользователям и организует коллективный иск против «Яндекс.Еды» после массовой утечки данных клиентов.

24 марта (спустя 26 дней после глобальной утечки данных) руководитель сервиса «Яндекс.Еда» Роман Маресов впервые пояснил ситуацию, прокомментировал инцидент и рассказал, что компания сделала не так и почему она так подвела пользователей.

Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом.
— руководитель сервиса «Яндекс.Еда» .

Кратко из пояснений Маресова:

  • узнали об утечке из СМИ или просто слишком поздно;
  • предупредили пользователей;
  • приняли меры по распространению утечки, но было поздно;
  • через 21 день опять стали принимать экстренные меры по блокировке сайтов с уже визуализацией утечки данных, вплоть до разделегирования доменов с утечкой;
  • сократили количество сотрудников, которые имеют доступ к приватным данным пользователей; закрыли систему, через которую был получен доступ к данным;
  • разрешат удалять все свои данные из Еды;
  • про компенсацию пользователям ничего не сказали.


25 марта 2022 года суд Москвы получил протокол от Роскомнадзора на сервис «Яндекс.Еда», зарегистрировал дело №05–0413/101/2022 об административном правонарушении, а также назначил дату заседания — 21 апреля. Согласно описанию дела, ООО «Яндекс.Еда» нарушило законодательство в области персональных данных по ч. 1 ст. 13.11 КоАП РФ. Компании грозило административное наказание до 100 тысяч рублей.

21 апреля Мировой судья судебного участка района Замоскворечье в Москве оштрафовал на 60 тыс. рублей компанию «Яндекс.Еда» за утечку данных пользователей.

В конце апреля Главным следственным управлением Следственного комитета РФ было возбуждено уголовное дело по признакам составов преступлений, предусмотренных частью 1 статьи 137 («Нарушение неприкосновенности частной жизни»), частью 3 статьи 272 («Неправомерный доступ к компьютерной информации») и частью 2 статьи 273 («Создание, использование и распространение вредоносных компьютерных программ») Уголовного кодекса РФ по факту утечки данных пользователей «Яндекс.Еды».

© Habrahabr.ru