«Мы подвели людей, которые пользовались нашим сервисом»: «Яндекс.Еда» извинилась за «беспрецедентную» утечку данных Статьи редакции
И объяснила, как борется с ней сейчас и что будет делать потом.
Руководитель «Яндекс.Еды» Роман Маресов написал в блоге компании пост с объяснениями, как произошла утечка, что делает компания сейчас и что предпримет в будущем, чтобы такого не повторилось.
Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом.
Об утечке узнали 28 февраля, а 1 марта начали предупреждать о ней пользователей, чьи данные попали в открытый доступ. Утёкшая информация — адреса, номера телефонов, имена в том виде, в каком они указаны в сервисе, а также даты и время заказов.
По словам Маресова, на карте, которую опубликовали в сети 22 марта, можно найти и другие данные — например, ФИО и адреса электронной почты. В сервисе считают, что создатели сайта скомпоновали несколько баз разных компаний, которые оказались в открытом доступе.
Сейчас «Еда» пытается предотвратить распространение информации. Компания добивается блокировки сайтов, которые публикуют базу, а также связывается с регистраторами и облачными хранилищами — чтобы разделегировать домены и удалить файлы с информацией о заказах.
Февральская утечка — беспрецедентный случай для «Яндекса», который считает сохранность данных пользователей высшим приоритетом. Мы извлекли из этого много уроков, хотя и предпочли бы получить их менее суровым путём.
Компания уменьшила количество сотрудников, у которых есть доступ к приватным данным, а саму информацию переносит в более защищённое хранилище.
«Еда» рассказала, что закрыла систему, через которую получили доступ к информации, провела полный аудит безопасности и теперь будет чаще проводить проверки.
В будущем «Еду» подключат к инструменту, который позволяет пользователям удалять свои данные из сервисов компании. Восстановить их потом не получится.
Также компания сообщила, что продолжает расследование утечки.
- 1 марта «Яндекс Еда» сообщила об утечке данных пользователей. 22 марта в сети опубликовали карту с базой о клиентах сервиса, а 23 марта сайт в России заблокировал «Роскомнадзор».
- В компании объяснили, что новых утечек не было, для карты использовали данные от 1 марта. Также сервис делает всё, что можно, чтобы минимизировать распространение информации вместе с надзорными и правоохранительными органами.
- 23 марта «Сетевые свободы» и «Роскомсвобода» начали собирать коллективные иски против «Еды».
Да в жопу могут идти со своими извинениями, простите за мой французский. Они письмо прислали, да, цитирую "В интернет попали номера телефонов наших клиентов и техническая информация о заказах: дата создания, состав и другие подробности"
По факту "техническая информация о заказах" это телефон, адрес, ФИО (если клиент указал) и сумма заказов в Еде за последние полгода. Я на карте потыкал рядом с собой, даже в панельках на окраине Мск есть люди, которые за эти полгода заказов сделали на 200-300-400к, что как бы говорит о том, что у них деньги есть, когда их нет ты вряд ли будешь заказывать еды из ресторанов на 50к/месяц. И благодаря Яндексу теперь любой желающий может посмотреть, где именно эти люди живут с точностью до квартиры. Охренеть просто, извиняются они. Штраф в 100к за такой слив данных это еще более охренеть, тут по 100к за утекшие данные каждого пользователя надо начислять.
И там явно не только данные яндекс еды. Подозреваю что база обогащена данными от яндекс офд, те это покупки в большом количестве различных интернет магазинов