«Мы подвели людей, которые пользовались нашим сервисом»: «Яндекс.Еда» извинилась за «беспрецедентную» утечку данных Статьи редакции
И объяснила, как борется с ней сейчас и что будет делать потом.
Руководитель «Яндекс.Еды» Роман Маресов написал в блоге компании пост с объяснениями, как произошла утечка, что делает компания сейчас и что предпримет в будущем, чтобы такого не повторилось.
Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом.
Об утечке узнали 28 февраля, а 1 марта начали предупреждать о ней пользователей, чьи данные попали в открытый доступ. Утёкшая информация — адреса, номера телефонов, имена в том виде, в каком они указаны в сервисе, а также даты и время заказов.
По словам Маресова, на карте, которую опубликовали в сети 22 марта, можно найти и другие данные — например, ФИО и адреса электронной почты. В сервисе считают, что создатели сайта скомпоновали несколько баз разных компаний, которые оказались в открытом доступе.
Сейчас «Еда» пытается предотвратить распространение информации. Компания добивается блокировки сайтов, которые публикуют базу, а также связывается с регистраторами и облачными хранилищами — чтобы разделегировать домены и удалить файлы с информацией о заказах.
Февральская утечка — беспрецедентный случай для «Яндекса», который считает сохранность данных пользователей высшим приоритетом. Мы извлекли из этого много уроков, хотя и предпочли бы получить их менее суровым путём.
Компания уменьшила количество сотрудников, у которых есть доступ к приватным данным, а саму информацию переносит в более защищённое хранилище.
«Еда» рассказала, что закрыла систему, через которую получили доступ к информации, провела полный аудит безопасности и теперь будет чаще проводить проверки.
В будущем «Еду» подключат к инструменту, который позволяет пользователям удалять свои данные из сервисов компании. Восстановить их потом не получится.
Также компания сообщила, что продолжает расследование утечки.
- 1 марта «Яндекс Еда» сообщила об утечке данных пользователей. 22 марта в сети опубликовали карту с базой о клиентах сервиса, а 23 марта сайт в России заблокировал «Роскомнадзор».
- В компании объяснили, что новых утечек не было, для карты использовали данные от 1 марта. Также сервис делает всё, что можно, чтобы минимизировать распространение информации вместе с надзорными и правоохранительными органами.
- 23 марта «Сетевые свободы» и «Роскомсвобода» начали собирать коллективные иски против «Еды».
Лааадно, прощаю
Спасибо тебе. В первый раз за сегодня улыбнулся🙂
Им надо открывать новый сервис Яндекс.Утечка
Ну а вообще они сегодня умудрились зафаршмачиться еще в следующем:
https://medialeaks.ru/2303ndi-str-yandex-taxi/
Подконтрольная государству, крупнейшая it-компания России, вдруг упускает данные своих юзеров - все возможные, которыми она располагает. «формально, они не виноваты - их же взломали», но по факту данными теперь могут неофициально распоряжаться те, кому передача этих данных в официальном порядке без решения суда - запрещена законом. Норм ракировочка фактов. В западном стиле. Отгадайте с одного раза - единственный источник, который отныне имеет доступ к эти данным.
Зачем им данные еды? Да просто затем, что еду юзеры заказывают именно по тем адресам, по которым они реально живут, а не по тем, где формально прописаны. То есть если нужно будет прийти - адрес точный, на 100%, накладок не будет.
Если нужно будет получить доступ к переписке, не сомневайтесь - адрес эл.почты актуален.
Теперь повесточка заказным письмом точно дойдет. Возможно доставит ее курьер яндекс вместе с едой.
Бля, я как в воду глядел и знал, что нельзя заказывать еду по адресу где живёшь. Это же логично. Привязка телефона к адресу.
Кто-то ещё сомневается в том, что необходимо заниматься информационной гигиеной? Учитесь у меня
опять рука кремля
Господи что? Ахахах, какие конкретно данные нужны?) Обратись к любому частному детективу бывшему менту и за 40к у тебя будет много много данных ото всюду)) больше чем из Яндекс еды.
Ещё столько народу плюсует это.. капец
Ну а зачем им громкий скандал? Они бы по тихому слили все базы
Государство ещё до утечки совершенно открыто обязало сервисы такси и еды предоставлять ему данные - https://habr.com/ru/news/t/647975/
Lol, а мобильник оформленный на твой паспорт ты в конспиративной квартире оставляешь? Ох уж эти заговорщики
какие все возможные еще? только из сервиса яндекс.еда
Терь все под колпаком... Хотя до этого все про всех знали и так. Лишнее подтверждение.
Про адрес почты далеко не факт. Там может быть просто учётка Яндекса, которая не используется в качестве основной почты, и, возможно, даже не проверяется на её наличие.
Комментарий недоступен
Комментарий недоступен
Да в жопу могут идти со своими извинениями, простите за мой французский. Они письмо прислали, да, цитирую "В интернет попали номера телефонов наших клиентов и техническая информация о заказах: дата создания, состав и другие подробности"
По факту "техническая информация о заказах" это телефон, адрес, ФИО (если клиент указал) и сумма заказов в Еде за последние полгода. Я на карте потыкал рядом с собой, даже в панельках на окраине Мск есть люди, которые за эти полгода заказов сделали на 200-300-400к, что как бы говорит о том, что у них деньги есть, когда их нет ты вряд ли будешь заказывать еды из ресторанов на 50к/месяц. И благодаря Яндексу теперь любой желающий может посмотреть, где именно эти люди живут с точностью до квартиры. Охренеть просто, извиняются они. Штраф в 100к за такой слив данных это еще более охренеть, тут по 100к за утекшие данные каждого пользователя надо начислять.
По идее надо под суд всех, и дело поднимать на уровень страны, чтобы остальные задумались быстрее.
Потому что всё на каком-то детском уровне. Как с гуся вода.
Еще возмущает что в базе 5,8 млн уникальных человек. Яндекс оштрафуют на 100 000 р. Делим сумму на количество людей - получаем 1,7 копейки за данные одного человека - настолько ценны наши ПД. Скажите спасибо что это не европейский GDPR.
Ни разу не оправдываю яндекс еду, но 400к за полгода это не так уж много, примерно 2к в день, учитывая, что некоторые, например - я, часто заказываю еду сразу для себя и друзей-соседей + берём иногда сразу завтрак-обед-ужин.
И там явно не только данные яндекс еды. Подозреваю что база обогащена данными от яндекс офд, те это покупки в большом количестве различных интернет магазинов
Ваши данные слили в сеть: ФИО, номер телефона, адрес проживания, сколько бабла ты слил на ЯндексЕду за 6 месяцев. (Там даже коды от домофонов есть)
Этими данными могут воспользоваться кто угодно, как угодно. (Я думаю для закладчиков эти данные теперь самое то, учитывая коды от домофонов)
Все, что сделала ЯндексЕда для пользователей - это извинилась и попросила простить. Никаких бонусов, никаких купонов, никаких бесплатных доставок для пострадавших. Просто «простите».
@Яндекс дайте человеку купончик с бесплатной доставкой
Чо ты ноешь ? Чем ты боишься что узнают где ты живешь ? Если кому надо и так узнают твой адрес.
Щас бы за закладками в подъезды с домофоном ходить.Теоретики, хреновы.
Тоже в шоке от их реакции.
Написала что делать/что не делать - по теме
https://vc.ru/u/445186-galina-shtraus/386798-pochemu-utechka-dannyh-yandeksa-ne-eshche-odna-utechka-a-gorazdo-bolee-sereznyy-sluchay-i-chto-seychas-mozhno-sdelat
Действия сервиса - просто без комментариев ((((
Кто-то тут не так давно говорил от чего вы так Яндекс хаете, а я говорил говнари они без комментариев. А тут на тебе, комментарии от Яндекса пришли :))
Сотрудники с паническими атаками справиться не могут, какие тут данные.
Лучший!)
Дорогой Яндекс! Во-первых, это, очевидно, уже совсем бесполезно - ваша база лежит везде, где только может лежать, и копия есть уже у каждого, кому она может быть хоть как-то полезна. Во-вторых, нет, это не всё, что вам остается - вам ещё остается помогать людям справиться с нанесенным по вашей вине ущербом - а он может быть очень разнообразен, от мошенников до сталкинга и насилия.
А чем конкретно тебе может помочь яндекс? Требовать помощи может каждый и это не плохо.
Но вот в этой ситуации - кажется абсурдом. Ну чем тут можно помочь? Выдать каждому новую квартиру с новым адресом?
1. От данного слива большинству клиентов не будет ничего страшного, кроме использования этой базы данных мошенниками.
2. У этого слива есть и хорошая сторона, к примеру мы узнали, что пропагандон Красовский нажрал, на наши налоги на 510k₽ по старому курсу!
когда вся страна узнала сколько жрёт Красовский.
я раньше думал, что Красовский педераст, а оказался просто пидор.
Комментарий недоступен
Этот чувак мог заказывать на компанию, как корпоративный счет. У меня в доме в панельке за ТТК есть сосед с заказами на 300к. Таких много в Москве.
:))))
Думал он соловьиными членами ̶П̶и̶т̶а̶е̶т̶с̶я̶ торгует в химках
Опередил, только об этом подумал)
Вот почему когда так нужны РКН и прочие органы власти которые должны карать за каждую строку утёкших личных данных или наложить оборотный штраф за ТАКОГО размер утечки - у них лапки - и они сидят ровненько?
60-100 тыс руб штраф?
Для Яндекса это ни оч ем.
А вот если бы 60-100млн..
Института репутации у нас к сожалению нет.
Декларировать можно что угодно - урок они вынесли, безопасность улучшили, а раньше где это все было?
Сертификат SOC2 получали вообще на passport только, а остальные проекты? Или это другое ?
Так это не компания виновата же, это человек совершил преступление, его накажут
Платина же
Теперь прозрачность придется понижать, а то стало видно всем.
Комментарий недоступен
Если соседи, семейная пара с 6 этажа потратили 30к 🧐🧐 а я только 1к на роллы, значит ли что она ужасно готовит? Или это я просто нищеброд
и то и то скорей всего
Даже в извинениях врут. Значит никакие это не извинения.
Мы сразу же предупредили пользователейага, только забыли там сказать что утёк адрес
22 марта злоумышленники запустили сайт с визуализациейэто не злоумышленники запустили сайт с визуализацией. когда эти данные на каждом углу, кто-то сделал из них сайт с визуализацией, чтобы привлечь внимание к проблеме, и с него лично свои данные каждый может удалить.
наличие такого сайта только привлекает внимание к проблеме и делает ту работу что вы не сделали должным образом - предупреждает людей, что у них утекли их адреса. если бы выслали всем юзерам email и сообщили какие данные утекли, то может быть никакого сайта бы не было.
если бы этот сайт не создали, утекшие данные всё равно были бы у злоумышленников, и продавались бы в дакрнете, только юзеры бы об этом не знали.
«И с него личные данные каждый может удалить»
Никто там ничего удалить не может. Там номер для связи рандомно меняется. Кто-то писал, что это номера каких-то силовиков из базы, а может и просто рандом.
Ладно "еда" - относительно популярный сервис (тут кстати деливериклаб заиграл новыми красками)
Go такси надеюсь не вскроют.. Вот это трындец будет. Доверия к "конторе" теперь на минималках
Где мой купон на скидку?
Не пропадет ваш скорбный купон.🙂
Довелось пообщаться с поддержкой ЯндексЕды, на любой вопрос - ответ шаблоном. Удалили зачем-то профиль, хотя я этого не просил 🤷🏻♂️
Удалили для вашего блага что бы нервы себе не тратили читая эти шаблонные ответы
большую часть запросов вполне успешно разгребают боты. Пишите просто сообщения так, чтобы было понятно и роботу и человеку.
Конечно, на изи простим. Только давайте вы выплатите всем ущерб состоящий из: затрат на смену мобильного номера, перевыпуск и перепривязку всех сервисов к ним, затраты на смену имени и ВСЕХ сопутствующих документов, затраты на смену жилья (доплатите людям за переезд). И так на каждого человека, которого вы слили в сеть. И тогда на изи простим.
Они там вообще долбанулись?!
Хорошо ни разу не заказывал на домашний адрес у этих чудаков. Один раз было дело на работу и то курьер украл заказ
Комментарий недоступен
Лучше напишите, как Красильщик написал бы - «Мы должны признать - мы провалились, как сервис».
Кто подписан на Красильщика, прокомментируйте, использовал бы он лишнюю запятую или нет. )
Лучше бы рассказали кто виновен в утечке
Просто интересно, после того как курьеры начали писать Z на рюкзаках, средний чек вырос?
После этого давай до свидания
Я думаю скорее упали. Хотя хз, не разу не видел крьеров с буквой Z
То, что попало в интернет, останется там навсегда. Особенно такая ценная информация. Видимо, надо сразу смириться с возможной утечкой, когда вводишь куда-то персональные данные
Особенно привязка банковской карты, фото паспорта, вход через госуслуги и т.д.
Вообще надо задуматься о том, чтобы сервисы не собирали личные данные по умолчанию на уровне закона, и то в каком виде они хранят всё это.
Сейчас каждая условная Пятёрочка требует полного заполнения анкеты (на х*я только), а уж там где такие живые услуги, надо как-то анонимизировать данные, а не в *бучую таблицу всё собирать.
Вход в БЦ по паспорту — вот это должно быть запрещено вплоть до уголовки
Что там пятерочка - когда получаешь заказное письмо на почте, вписываешь в извещение всю свою подноготную. И никто там ни за что не отвечает. Из-за требования персональных данных не имею дисконтной карты сети АЗС.
Комментарий недоступен
Извиняться - знак вежливости и облегчает всякие отношения. Не знаю как вы, но у меня стало теплее на душе.
Комментарий недоступен
Комментарий недоступен
Плюс 500 социаль плюс, двойной повышенный спрос на миска рис, кошка жена по подписка на Яндекс плюс в подарка
Вот сук, 1000 раз говорил что яндекс контора говна, нет же, боты и слепые микрочелики защищали яшку, а яшка чё? Обосралась флеш роялем.
Пусть нахуй идут.
Ножкам ив магаз и налом расчет
Бурление говн на неделю. Все как пользовались так и будут пользоваться.
Скоро и нал отменят
Нашли виновных?
Это очень опасно, ведь понятно кто виноват)
У меня в базе слит адрес почты, который совершенно никак не относиться к ЯЕде, боюсь, ребята, не только ЯЕда вскрылась.
Комментарий недоступен
Почему в таких ситуациях не заводят дело и не расследует? Почему это превращается в норму?
Комментарий недоступен
Ну вот, даже промокод не дали 😃
Извините, пожалуйста. Мы ещё ищем, кто насрал нам в штаны, но обязательно найдем, вытрем попу и всё будет хорошо. Штаны тоже поменяем, на более плотные.
Если подадут коллективные иски, мне кажется все заиграет - совсем другими красками. Может кто рассудить с юридической точки зрения?
Сетевые свободы уже собирают желающих для иска. Но не все готовы доверенность на представление интересов написать
Я надеюсь что мой сервисный сбор пойдёт на повышение ставок в баг баунти.
Теперь ещё забавнее его платить.
Может хоть промокоды дадите?
Пишет Людвиг в своём канале https://t.me/ldwg_channel
Что не так с письмом.
1. Письмо написано в духе ", зато". Это когда вы берете что-то дурнопахнущее, и брызгаете его сверху дезодорантом.
Примеры:
Мы сильно подвели людей, которые пользовались нашим сервисом.
(зато)
В последние два дня мне самому пришло много вопросов от родственников и друзей.
: : :
Это адреса, номера телефонов, имена — в том виде, в каком они указаны в сервисе, — а также даты и время заказов.
(зато)
Утечки логинов, паролей и данных банковских карт не было, эта информация в безопасности.
* * *
Ребята, никогда не пишите так. Проблема тут в том, что в таких фразах ценность пункта до "зато" как будто неважна, зато вторая часть фразы - очень ценная. Важно, что родные сделали мне ататай. Важно, что карты не утекли.
Это не так в мире пользователя.
Мне все равно, сколько Роман получил писем от друзей. И лично мне плевать на номер карты, она меняется за три минуты, но вот домашний адрес не сменишь так легко.
Проверка - переставьте местами и вот что будет:
В последние два дня мне самому пришло много вопросов от родственников и друзей. (Но с этим я справлюсь. Тут важнее, что) мы сильно подвели людей, которые пользовались нашим сервисом.
Утечки логинов, паролей и данных банковских карт не было, эта информация в безопасности. (Но) утекли адреса, номера телефонов, имена — в том виде, в каком они указаны в сервисе, — а также даты и время заказов.
2. Смотрите на ответственность. А точнее - на местоимения. Конкретно смотрим на "я", "мы", "они".
Все, за что отвечает лично Роман в этой ситуации - это получение писем и написание текста. Там вы встретите местоимение "я". В остальных случаях все проебы - это "мы". Не я подвел, а мы подвели. Меры исправления - тоже мы: мы предупредили, мы добиваемся.
И как вишенка на торте, ни в коем случае нельзя допустить падения котировок Большого Яндекса. Все это письмо ровно про одно: ЯНДЕКС ТУТ НИ ПРИ ЧЕМ ПОЗЯЗЯ ТОЛЬКО НЕ ЯНДЕКС ЭТО ВСЕ МЫ МЫ НЕ ЯНДЕКС
Яндекс беспрецендентен и высшеприоритетен, это вопиющий случай для него, он вон запустил сервис и вообще сотрудничает с правоохранителями. Посмотрите внимательно, везде где Яндекс, везде веет надежностью да стабильностью. А Яндекс Еда - "мы" это, не Яндекс, не подумайте. А "я" просто письма получал от друзей.
4. Яндекс Еда все последние годы была одержима прысканьем на все свои коммуникации, которых они касаются, освежителем. Мне кажется, что они честно не догоняют.
Череночек на вишенке на торте - это то, что горячую линию про свой факап они освежают названием helpme@eda.
Типа у меня, юзера, проблемка, мне нужна помощь, и они великодушно и из доброй воли помогут сейчас мне с моим затрудненьицем.
Не forgiveus@eda
Не miobosralis@eda
Не hotline@eda
Не problema@eda
А "помогите мне".
Как будто я случайно сам по своему дурацкому недосмотру попал в еду, а яндекс спешит на помощь.
«Яндекс.Еда» извинилась за «беспрецедентную» утечку данных
иииии после наклеила на сотрудников яндекс-еды буквы Z 💩
Кто нашел свои данные на карте, вас Яндекс предупреждал о сливе? Или это очередная ложь от главы Яндекс Еды?
Письмо пришло 2 марта с нейтральным заголовком Безопасность ваших данных (лично я решила, что это обычное информирование, мол, как обезопасить себя от мошенников). У многих оно вообще в спам попало
Тот чел который слил, наверное до конца жизни будет выплачивать компенсацию за ущерб.
Это если его найдут. С этим обычно проблемы возникают.
Комментарий недоступен
К сожалению данные граждан РФ ничего не стоят. Всего-лишь 100 тыщ штраф - для них это копейки.
Пора бы поднимать ответственность, чтобы не извинялись, а начинали шевелиться.
Прикольно) Переезд и услуги риелтора оплатят?
необходимо озвучить имя виновника этого слива пусть отвечает за свои действия
Виновник уволился и покинул Россию за 2 недели до утечки.
У нас в городе не работает Яндекс еда. Но если учитывать в общем компанию Яндекса, то у них все по пизде, начиная от дизайна, которому нахер не сдались уникальные авторы - помойка информационного сброда, заканчивая колонкой Яндекс Макс, которая бл*ть в паре не работает через блютуз.
Как обычно: «ой простите, мы лоханулись, жёсткий урок, бла-бла-бла, но кроме извинений больше ничего вам не дадим»
Представляю как бы жопу себе рвали иностранные компании
Очень надеюсь, что коллективные иски неплохие деньги пострадавшим принесут
Дайте ссылку уже где можно поглядеть эти данные
https://saverudata.org/map/ нашел, но работает только в связке впн+тор
1. Присоединиться к коллективному иску или подать индивидуальный, если не доверяете сторонним адвокатам.
2. Написать обращение в РКН, Прокуратуру.
Какие еще пункты есть, чтобы хотя бы формально попробовать на этот беспредел повлиять?
Никаких извинений не принимается как минимум до тех пор, пока вы, Яндекс, не продадите или не закроете Яндекс.Новости!
Кто-нибудь планирует подавать досудебку самостоятельно? Поделитесь опытом, есть смысл?
Спасибо компании, которая спасала людей в дни ограничений.
Из текста показалось, что они не знают кто сделал этот слив, не могут и не смогут его установить. Только косвенно - кто-то уволился, потом уехал и тд и тп.
Даже ограничение по доступам и работа в контуре данных не защитят от утечек, потому что полностью изолировать его невозможно. Всегда найдется способ шарить между контурами, потому что иначе просто невозможно будет работать. Либо через email пересылку зашифрованных архивов, либо через синхронизацию гит репозиториев и другими способами можно заносить и выносить данные и код.
Главное это сделать так, чтобы любое действие можно было отследить и гарантировано установить источник утечки.
видел инфу, и понял что чел за пару лет может просто съесть столько сколько стоит моя хата
пидарасы, там даже код от подъезда был, а в письме, где написали, что обосрались, ни слова об адресе, только "...и другие подробности". Могли бы блять сразу сказать, что утекли адреса, меняйте коды от подъездов!
Уже удалил аккаунт. Пошли нахуй
я вас прощаю, но в какой форме это лучше сделать решит суд.
Каждому по списку по 10 кг сахара.
открыл сайт на новом домене .info))
К сожалению, техподдержка Яндекса очень сильно удешевила извинения в т.н. "искреннем стиле", поэтому очередное "Мы очень расстроились, что вы расстроились" как-то совсем не трогает.
Интересно, а какую ответственность, кроме извинений - понесёт яндекс...
Потому что если просто принесут извининения - то и остальную работу можно и не делать... Все равно потом - снова просто извиняться.
Извинились, блин, такими темпами вы и Яндекс.Диск сольете. Я тут думал на период санкций, скопировать все с Гугл диска на Яндекс.Диск и заплатить за подписку, а теперь - ну к черту! они не первый раз базу сливают, куплю лучше еще один внешний диск и там буду хранить.