В свободном доступе выложили архив сервиса «Яндекс.Еда» с данными заказов клиентов, «Яндекс» ранее подтвердил утечку
По информации Telegram-канала «Утечки информации», в свободном доступе появился архив сервиса «Яндекс.Еда» с данными заказов клиентов. «Яндекс» ранее подтвердил факт утечки, но не раскрывал ее детали.
Согласно данным по утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:
- имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
- номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
- полный адрес доставки клиента;
- комментарии к заказу;
- выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.
1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников.
По данным службы, в результате утечки в сети были опубликованы телефонные номера клиентов и информация об их заказах, в том числе состав и время доставки. В компании уверяют, что в утёкшей информации не содержались банковские платёжные или регистрационные данные пользователей сервиса; эта информация в безопасности, утверждают в «Яндексе».
В компании рассказали, что провели внутреннюю проверку. По её результатам был ужесточён подход к хранению чувствительной информации, в том числе, связанной с заказами клиентов. Компания уверяет, что предоставила этим данным необходимый уровень защиты, который сопоставим с уровнем защиты платёжных сведений. Кроме того, в сервисе исключат обработку такой информации вручную и втрое сократят число работников, которые имеют к ней доступ.
Команда «Яндекс.Еды» принесла извинения пользователям и пообещала, что отправит письмо с подробностями всем, кого коснулась утечка. В отношении провинившегося сотрудника «Яндекс» обещает принять законные меры. Компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к информации о клиентах, говорится в пресс-релизе на сайте «Яндекса».
В сети выложили новый сайт, где слиты данные пользователей Яндекс.Еды, ГИБДД, СДЭК, Авито, Wildberries и еще много кого
В закладки
Создатели карт с данными клиентов Яндекс.Еды существенно обновили свой сайт. Теперь на нем появилась информация с информацией о пользователях других сервисов.
На карте отображаются данные из ГИБДД, СДЭК, ВТБ, билайна, Авито, Wildberries и других источников. Показываются адреса, номера телефонов, VIN-номера автомобилей и другие данные пользователей сервисов.
В списки публичных людей, показывающихся на сайте, попали номера телефонов и адреса Ксении Собчак, Светланы Кривоногих, Петра Дерипаски и еще около 30 человек.
Отмечается, что сайт должен быть доступен по слегка изменённой старой ссылке, но по факту сейчас он не у всех открывается. [Forbes]
Обновлено 14.15: комментарий пресс-службы Авито.
«Это не утечка, а обычный парсинг публичных данных. Все персональные данные наших пользователей в безопасности и надежно защищены».
В закладки
Сайт с данными пользователей «Яндекс.Еды» пополнился базами ГИБДД, СДЭКа, Avito, Wildberries
Рекомендуем почитать: 
Xakep #284. Атаки на AWS
СМИ и специалисты заметили, что сайт, ранее распространявший утекшие данные пользователей «Яндекс.Еды» в формате интерактивной карты, пополнился новыми базами, включая ГИБДД, СДЭК, Avito, Wildberries, «Билайн» и другие источники.
Напомню, что сайт с интерактивной картой появился в сети в марте текущего года. Тогда представители «Яндекс» подтвердили факт утечки и предупредили, что в руки третьих лиц попали телефоны клиентов и информация об их заказах: состав, время доставки и так далее. Сообщалось, что данные утекли из-за «недобросовестных действий» одного из сотрудников.
Вскоре после появления данных в открытом доступе представители Роскомнадзора составили административный протокол, а также внесли ресурс с интерактивной картой и украденным дампом в список запрещенных. В итоге 21 апреля мировой судья судебного участка района Замоскворечье оштрафовал сервис «Яндекс Еда» на 60 000 рублей, так как протокол был составлен по ч. 1 ст. 13.11 КоАП РФ и предполагает наказание в виде штрафа в размере от 60 000 рублей до 100 000 рублей.
Как теперь сообщает Forbes, на днях ресурс обновился и теперь предлагает посетителем всю ту же интерактивную карту, однако профили пользователей теперь включают не только данные «Яндекс.Еды», но и ГИБДД, СДЭКа, Avito, Wildberries, «Билайна» и других источников. Это адреса, номера телефонов, VIN-номера автомобилей и другие данные пользователей сервисов.
Кроме того, появились списки публичных людей и объединенная информация по ним. Forbes отмечает, что в эти списки попали номера телефонов и адреса Ксении Собчак, Светланы Кривоногих, которую некоторые СМИ называли «близкой знакомой» президента Владимира Путина (пресс-секретарь президента Дмитрий Песков заявил, что в Кремле никогда не слышали о Кривоногих), Петра Дерипаски (сына бизнесмена Олега Дерипаски) и еще около 30 человек.
«Мы увидели, насколько цена нашей конфиденциальности не ценится и решили запустить новую версию сайта. Суд оштрафовал «Яндекс.Еду» на 60 тыс руб за утечку данных клиентов, т.е. наши адреса доставки и личностные данные стоят 0.009 руб за пользователя (6 397 035 пользователей)
Все больше информации попадает в руки преступников, которой могут воспользоваться с целью запугивания или обмана.
Чтобы понимать риски, вы можете проверить, какая персональная информация есть у мошенников и уголовников», — заявляют операторы сайта.
Представители «Яндекс.Еды» сообщили СМИ, что не фиксировали никаких новых инцидентов и «предпринимают все возможное, чтобы минимизировать распространение информации злоумышленниками».
По словам представителя сервиса, не все распространяемые злоумышленниками данные имеют отношение к «Яндекс.Еде». «Например, мы не храним полное ФИО и email. Эти данные взяты из других источников», — уточнили он. Также представитель сервиса добавил, что компания работает не только над общим усилением информационной безопасности, но и «над инструментами, которые дадут пользователям возможность видеть, какие данные хранятся в системе, и удалять их по своему желанию».
«Данные пользователей Wildberries в сохранности, беспокоиться не о чем, утечек данных не было, — сообщил представитель маркетплейса журналистам. — Все персональные данные наших пользователей в безопасности и надежно защищены».
Forbes также обратился за комментариями в Avito и Роскомнадзор, однако ответов издание пока не получило.
Фамилия, телефон, адрес и сколько съел: что расскажет о вас утечка из «Яндекс.Еды»?
В сети опубликовали персональные данные более чем 100 тыс. клиентов «Яндекс.Еды». Беспрецедентный характер киберхищений подчеркивает доступность информации для обычного пользователя — преступники заботливо «выгрузили» данные на интерактивную карту и сформировали систему поиска клиентов по фамилии или номеру телефона. Корреспондент «БИЗНЕС Online» воспользовался сервисом и легко нашел в числе 60 тыс. пользователей «Яндекс.Еды» в Татарстане себя, своих знакомых, а также нескольких VIP-персон республики. Эксперты по соображениям безопасности советуют не пользоваться этими сервисами, а тем, чьи данные опубликованы, надо готовиться к звонкам мошенников — с электронной почтой, адресом и полным именем жертвы они составят правдоподобную историю.
Накануне в одном из телеграм-каналов появилась ссылка на интерактивную карту с личными данными клиентов сервиса «Яндекс.Еда». В открытом доступе оказалось более 100 тыс. данных
Теперь все знают, что вы ели прошлым летом: в сеть слили данные клиентов «Яндекс.Еды»
Накануне в одном из телеграм-каналов появилась ссылка на интерактивную карту с личными данными клиентов сервиса «Яндекс.Еда». В открытом доступе оказалось более 100 тыс. данных — имена, фамилии, телефонные номера, адреса, электронная почта и общая сумма заказов россиян за последние полгода. На карте отражаются также данные соседней Беларуси и Казахстана. Чтобы воспользоваться картой, достаточно перейти по ссылке, выбрать населенный пункт и укрупнить масштаб до городских кварталов. В крупных городах практически напротив каждого дома расставлены метки, за каждой из которых кроются данные пользователей сервиса.
В «комплекте» с картой идет вторая ссылка — на сервис по поиску заказчиков по номеру телефона или фамилии. В преамбуле к поисковику сообщается, что после начала спецоперации России на Украине в результате массовых кибератак на веб-ресурсы РФ множество личных данных было незаконно выложено в сеть. «Мы публикуем базу с персональной информацией россиян, которой могут воспользоваться с целью запугивания и обмана. Вы можете проверить по телефону или фамилии, какая информация есть у преступников, чтобы понимать риски. Предупрежден — значит вооружен!» В ответ на номер телефона или фамилию в поисковой выдаче появляется список заказчиков (насколько он будет большим, зависит от популярности фамилии), их имена или названия юрлиц, электронная почта и телефоны с подробными адресами, вплоть до этажа и номера квартиры.
По информации создателей базы, всего в сеть утекли данные 30 млн пользователей «Яндекс.Еды», но можно ли этому верить, неизвестно. В марте 2021 года СМИ сообщали оценочное число пользователей сервиса — более 5 млн человек. Сама компания количество пользователей не раскрывает.
Публикация карты и поисковика запустила развлекательный аттракцион «найди себя и своего друга». Пользователи интернета в России через нехитрые манипуляции начали искать, насколько велики аппетиты их знакомых, соседей и VIP-персон, которые делали заказы от своего имени.
На названных сайтах указаны номера телефонов, позвонив по которым, можно попросить удалить личную информацию. По первому номеру корреспондент «БИЗНЕС Online» не смогла дозвониться, а по второму трубку снял мужчина, который сообщил, что произошла какая-то ошибка и его уже несколько раз побеспокоили с таким вопросом. На этих ресурсах также размещены гиперссылки на инструкции по аморальным или преступным действиям. Они ведут на размещенные в сети материалы, которые рассказывают, как шантажировать людей в соцсетях, как можно обокрасть чужую квартиру или не оставить следов на месте преступления. Часть гиперссылок уже заблокирована.
Пользователи интернета в России через нехитрые манипуляции начали искать, насколько велики аппетиты их знакомых, соседей и VIP-персон, которые делали заказы от своего имени
«Яндекс.Еда»: виновного накажут, данные защитят
Сообщения об утечке данных в последнее время появляются нередко, об одном из самых масштабных сливов СМИ сообщали в 2019 году. Тогда данные как минимум 5 тыс. кредитных карт клиентов Сбербанка в сеть выгрузил начальник сектора управления прямых продаж. Сотрудник Сбера воспользовался правами администратора, корпоративной почтой и флеш-картой на 8 Гб. На всю операцию у него ушло 10 часов, сообщает РБК. Кража данных «Яндекс.Еды» отличается не только бо́льшим числом потерпевших, но и визуализацией данных, переводом их в интерактивный формат, что дает людям возможность оценить размах преступления.
Напомним, первая информация о взломе базы данных «Яндекс.Еды» появилась еще 1 марта, но тогда было невозможно оценить масштаб бедствия, поскольку не была составлена система поиска, а информация о заказчиках не была нанесена на карту. 1 и 2 марта пользователи сервиса получали одинаковые письма, в которых служба информационной безопасности «Яндекс.Еды» сообщала о выявлении «внутренней утечки данных о заказах в сервисе». «В интернет попали номера телефонов наших клиентов и техническая информация о заказах: дата создания, состав и другие подробности. Утечка не коснулась банковских и платежных данных, логинов и паролей — они в безопасности», — убеждали авторы рассылки. Служба безопасности также предупредила, что в отношении виновных в утечке будут приняты установленные законом меры, подход к хранению информации о заказах был ужесточен, а уровень защиты и мониторинг доступов к критичным данным усилен.
По сообщениям пресс-службы «Яндекса», данные слил один из сотрудников компании. «В отношении виновного в утечке сотрудника будут приняты установленные законом меры. „Яндекс.Еда“ обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все, для того чтобы предотвратить распространение опубликованной информации», — заявила СМИ представитель пресс-службы «Яндекса» Елена Новикова.
Сегодня пиар-менеджер фудтех-направления «Яндекс.Такси» Дарья Страхова рассказала журналисту «БИЗНЕС Online» о том, что для минимизации распространения массива данных компания продолжает работать с владельцами ресурсов, которые могут использовать злоумышленники. Отметим, некоторые телеграм-каналы сообщали, что вместе с адресами и телефонами пользователей были украдены их паспортные данные, но Страхова назвала эту информацию недостоверной. Сколько всего клиентов пострадало при беспрецедентной утечке, она не смогла уточнить.
В «Яндексе» также указали на то, что опубликованная информация может быть собрана из разных баз разной давности. «Данный сайт может быть небезопасен, мы рекомендуем вам не проверять информацию через него и не звонить по указанным номерам. Мы на связи с правоохранительными органами и предпринимаем меры, чтобы ограничить распространение данных», — сообщили в «Яндекс.Еде».
В компании нашему корреспонденту добавили, что ресурс с визуальной картой сейчас уже недоступен. Но в действительности наш журналист с легкостью смог воспользоваться как интерактивной картой, так и системой поиска заказчиков. Более того, любой желающий может скачать все находящиеся в базе персональные данные клиентов сервиса.
Сервис «Яндекс.Еда» опроверг сообщения о новой утечке данных пользователей. «Никаких новых инцидентов в сфере информационной безопасности с 1 марта не было. Речь об утечке, о которой „Яндекс.Еда“ рассказала 1 марта, и тогда же уведомили всех затронутых пользователей по электронной почте», — сообщили в пресс-службе сервиса.
В Казани и прилегающих к столице РТ районах, включая Зеленодольскую агломерацию, зафиксированы почти 60 тыс. пользователей сервиса «Яндекс.Еда»
60 тыс. заказчиков из Татарстана: чиновники, политики, бизнесмены
В Казани и прилегающих к столице РТ районах, включая Зеленодольскую агломерацию, зафиксированы почти 60 тыс. пользователей сервиса «Яндекс.Еда». Куда меньше заказчиков в Набережных Челнах — 340, Нижнекамске — 116 и Альметьевске — 154.
Заказы по расположенным в столице РТ зданиям распределяются неоднородно и делятся на «домашние» и «рабочие». Например, на территории Казанского кремля зафиксирована деятельность порядка 70 заказчиков, в здании на площади Свободы, 1 их 7, а в Госсовете РТ — 5. В выходных данных указывается полное имя заказчика (иногда есть только имя или аббревиатура), его номер телефона, адрес, электронная почта, тип операционной системы телефона (iphone или android) и потраченная за 6 месяцев на заказы сумма. К примеру, в Госсовете РТ пять пользователей за полгода потратили совокупно почти 140 тыс. рублей. Причем один заказчик за это время потратил 86,5 тыс. рублей, а другой — 312 рублей. В ЖК «Суворовский» — 105 клиентов «Яндекс.Еды», а в «ЖК «Пять звезд» — почти 500.
Среди заказчиков фигурируют и VIP-персоны. Например, один из жителей ЖК «Кристалл», сын высокопоставленного чиновника, за полгода заказал через сервис еды или продуктов на 25 тыс. рублей. Председатель одного из госкомитетов РТ, проживающий в ЖК «Берег», потратил 8 тыс. рублей. Проживающий на улице Щапова директор одного из крупных агрохолдингов потратил более 55 тыс. рублей. В Боровом Матюшино у одного из игроков баскетбольного клуба «Зенит» на заказы в «Яндекс.Еде» ушло почти 30 тыс. рублей.
«Стоит завести для онлайн-заказов отдельную банковскую карту с небольшим количеством денег и отдельный почтовый ящик, на котором не будет никакой переписки»
«Нельзя доказать ущерб, который может наступить только через какое-то время»
По просьбе «БИЗНЕС Online» эксперты оценили масштабы утечки и объяснили, что делать тем, чьи данные украли.
Владимир Ульянов — руководитель аналитического центра Zecurion:
— С тем, что ваши данные оказались скомпрометированы, уже ничего не сделаешь. Когда мы заполняем анкеты, передаем данные, мы их уже не контролируем и можем лишь надеяться, что они не будут взломаны и не утекут.
Сейчас надо иметь в виду, что мошенники могут использовать эти данные для реализации своих схем. Мошенники звонят, представляются кем-то, просят перевести деньги, продиктовать СМС-код или еще что-то. Если они звонят наугад, эффективность этих звонков крайне низка. Если есть такие базы и мошенники располагают данными о жертве, они могут придумать более правдоподобные истории, и жертва поверит.
К сожалению, такие истории случаются довольно часто по всему миру. Чаще всего причиной утечек становятся собственные сотрудники. Задача у них проста: переслать базы по интернету, скопировать на флешку, и сделать это можно сейчас практически мгновенно и бесследно. Не всегда даже компании могут понять, кто стал виновником произошедшего.
Сервисами с базами слитых данных я не рекомендую пользоваться среднестатистическому человеку: высока вероятность нарваться на мошеннические ресурсы. Большинство из них сами собирают информацию: хочешь узнать, не скомпрометирована ли твоя банковская карта — введи ее номер! И люди вводят, не задумываясь, что подарили свои персональные данные неизвестно кому.
Олег Седов — эксперт по информационной безопасности:
— Это не первая и, к сожалению, не последняя утечка данных, надо готовиться к тому, что их будет все больше. Я бы отметил две характерные причины нашего времени, которые мотивируют утечки. Во-первых, формула нашего времени: «Для кого беда*, а для кого мать родна» (*тут слово, запрещенное по распоряжению Роскомнадзора и прочих уполномоченных). В принципе, так было всегда. Но сейчас все многократно перегрето и усилено. Сотрудники, которые еще вчера были мотивированны и лояльны компании, могут неожиданно начать работать против компании по личным политическим мотивам. Понимание, что нельзя работать в компании и быть против нее, непременно придет позже, но сейчас все в крайностях. Поэтому корпоративным службам ИБ будет нелишним усилить контроль за поведением сотрудников. Любые отклонения от привычных паттернов должны вызывать повышенное внимание. Очевидно, что без средств автоматизации, например DLP-систем, эти задачи решить крайне сложно (иначе глаза будут в кровавых мозолях у смотрящих). Никакие политические мотивы не могут оправдать действия злоумышленников!
А во-вторых, к хищению баз данных мотивируют и перспективы экономики. Это подталкивает сотрудников, которые были лояльными еще вчера, искать дополнительный заработок. Цены растут, перспективы неясны, повышение зарплаты не ожидается, так что люди пытаются унести с работы что-то, что можно выгодно продать. Например, базу данных. Это уже задача для HR, которым нужно работать с лояльностью персонала, а не провоцировать последних на дополнительные заработки, в том числе кражу корпоративных ценностей. Данные уже давно относятся к ценному товару.
Но никакие действия корпоративных экспертов не освобождают рядовых граждан от привычных правил кибергигиены.
Объемы утечек растут, частота их не снижается, и последствия не заставляют себя долго ждать. Как правило, мы не можем проверить, были ли именно наши данные в слитой базе. А даже если можем — нельзя доказать ущерб, который может наступить только через какое-то время.
В современных условиях у криминала только одна проблема — у них никогда не бывает много адресов потенциальных жертв. Они готовы в дело пустить все, что смогут получить в свои руки. У преступных групп есть несколько сценариев, как действовать, как только появится список проверенных адресов потенциальных жертв. Базы поступают в этот криминальный котел, как некое топливо, его фигуранты могут пострадать. Доказать, что конкретно эта рассылка привела к криминальной ситуации, практически нереально. Лучше до этого не доводить. Отказаться от сервисов уже не получится, но рассчитывать, что кто-то наши данные защитит так же надежно, как и мы сами, как минимум странно. Никто нас не освобождал от кибергигиены.
Мы не рекомендуем сообщать о себе недостоверные сведения, например имейл: часто с этого адреса нужно подтвердить заказ, иначе его отменят. Советуем завести отдельную почту для некритичных ресурсов: заказов еды и прочего.
Нужно регулярно обновлять надежные пароли в личных кабинетах и на сервисах. Старайтесь не сообщать онлайн-сервисам слишком много данных о себе. Сейчас может появиться много фейковых ресурсов под брендами тех компаний, которые уходят с рынка, предлагая, например, распродажу остатков со склада. И получится странная ситуация: люди ввели данные, ничего не оплатили и заказ не получили. Создается впечатление, что пострадавших нет, раз никто деньги не потерял, но данные-то были собраны.
В-третьих, стоит завести для онлайн-заказов отдельную банковскую карту с небольшим количеством денег и отдельный почтовый ящик, на котором не будет никакой переписки. Заводить отдельную сим-карту сложнее, лучше со своей не отвечать на звонки с незнакомых номеров.
Тем, кто твердо знает, что его данные утекли, нужно обновить все пароли, проверить свои устройства антивирусами (лучше двумя-тремя) и понимать, что все ресурсы, которые привязаны к этим данным, могут пострадать. И обратиться в правоохранительные органы.
Чем больше мы будем сообщать об этом, тем бо́льшим будет опыт борьбы с киберкриминалом у правоохранительных органов, тем выше станет раскрываемость. Если вы нашли себя в этой базе данных, как минимум нельзя это замалчивать. Любое настоятельное требование трепетно относиться к данным и не пускать на самотек подобные инциденты дисциплинирует и поставщиков услуг, и правоохранительные органы.