«Вкусвилл» сообщил об утечке номеров и данных о заказах «сотен тысяч» клиентов Статьи редакции

Компания ведёт внутреннее расследование.

  • Об утечке личной информации «нескольких сотен тысяч пользователей» «Вкусвилл» рассказал Forbes.

Об утечке мы узнали в ночь с 8 на 9 декабря 2022 года. Наши специалисты самостоятельно обнаружили и оперативно приняли меры. Внимательно изучив ситуацию, мы поняли, что к третьим лицам попали файлы, содержащие публичные данные некоторых наших покупателей, а именно: телефоны и email, даты и суммы заказов, последние четыре цифры номера банковской карты.

«Вкусвилл»
  • В компании добавили, что утечка не коснулась «никаких угрожающих персональной безопасности данных». Например, имён, адресов и полных данных о банковских картах. Уязвимость закрыли «в первые часы». «Вкусвилл» продолжает внутреннее расследование.
  • До заявления компании информация об утечке данных «Вкусвилла» рассказали профильные Telegram-каналы, например, «Утечки информации». По информации основателя сервиса разведки утечек данных и мониторинга даркнета DLBI Ашота Оганесяна, хакеры выложили в открытый доступ 242 245 уникальных телефонных номеров, 233 194 адреса электронной почты, даты и время заказов, оплаты и доставки с 5 по 7 декабря 2022 года, а также суммы заказов и последние цифры номеров банковских карт.
  • В начале марта 2022 года крупная утечка произошла у сервиса «Яндекс Еда», 22 марта в интернете опубликовали карту с данными. Позже «Яндекс» добился полной блокировки сайта и извинился перед клиентами. За утечку суд оштрафовал сервис на 60 тысяч рублей. А в ноябре постановил взыскать с «Яндекс Еды» компенсацию по коллективному иску — 13 пользователям присудили по 5000 рублей.
0
211 комментариев
Написать комментарий...
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
СарыньНаКичку

А для ускорения оплаты штрафов мобилизировать их в ускоренном порядке. И обмундировать их в страйкбольную аммуницию

Ответить
Развернуть ветку
10 комментариев

Комментарий удален модератором

Развернуть ветку
6 комментариев
Семен Дудник

Так они примерно это и хотят, но не за слив, а за использование слитых данных)))

Ответить
Развернуть ветку
говнокот

Государству интересно не «любой» бизнес. А отжать оно может и без всяких штрафов.

Ответить
Развернуть ветку
Илья Попов

Можно и оплатить натурой.

Ответить
Развернуть ветку
Илья Фирсов

ну конфискуют все - что дальше? кого доить то? :)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
badResistor

солевые)

Ответить
Развернуть ветку
13 комментариев
Олег

По прыщам узнаем, в первую очередь)))

Ответить
Развернуть ветку
Илья Попов

Это ещё не всё - настало время выявить шаурмистов тоже...

Ответить
Развернуть ветку
2 комментария
Роман?

Ни дня без утечек. Кстати, предлагаю вашему вниманию историю входящих звонков. Четверг был особенно насыщен.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
11 комментариев
Сергей Коновалов

Обзванивать номера можно и без слитых баз. Другое дело, если обращаются по имени отчеству. Или на основе слитых данных, выдают себя за других.
Мы проанализировали вашу обеденную карту, и готовы предложить кредит на персональных условиях. А так-же рекомендации диетолога, стомотолога и гастроэнтеролога! 8D

Ответить
Развернуть ветку
14 комментариев
Dark Soul

Включите visual voice Mail и поставьте игнорировать звонки от неизвестных. Будет вам счастье.

Ответить
Развернуть ветку
18 комментариев
Илья Попов

Если у вас тоже, как у меня, жена ревнивая, то это полный кошмар, а так, без этого, ерунда.

Ответить
Развернуть ветку
2 комментария
Alex

Поставьте себе голосового помощника типа Алисы https://yandex.ru/promo/searchapp/alice/phone_assistant? Будет записывать звонки такие и расшифровку присылать.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
James B

Как происходит утечка данных:
Ты хочешь добавить новое поле в публичную апишку и тебе говорят, что сначала нужно пройти две встречи с архитекторами, консилиум сеньйоров, несколько ревью от безопасников, пентесты, потом через три месяца раскатать это на 1% пользователей, собрать аналитику и пройти по новой этот круг для того, чтобы добавить это всем пользователям. Всё во имя безопасности.

А потом приходит джун и ему в первый рабочий день выдают права на все сервисы, все учетки и доступы к продакшен БД, даже если они ему и близко не нужны для работы.

Ответить
Развернуть ветку
Marianna Yaksarova

Блин, хочу туда, где в первый рабочий день дают хоть какие-нибудь доступы без 10 кругов согласований со всеми руководителями и бог знает с кем еще. Реально такое бывает?

Ответить
Развернуть ветку
4 комментария
Sitewell Ad

Почему вся чувствительная информация не хранится в зашифрованном виде?

Ответить
Развернуть ветку
8 комментариев
парагвака

Столько комментариев и почти никого не смутило это жуткое заявление?
Если во вкусвилле даже официальные лица, выставленные отчитываться перед публикой после таких факапов, называют приватные персональные данные публичными, страшно представить, что там творится с безопасностью на более низких уровнях.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Alexey

Смутило. И что дальше?
Пока не будет возможности просматривать всех, кто обрабатывает твои персональные данные и возможности массово отзывать разрешение, то так и будет дальше смущать. И вызывать еще озабоченность
А позиция "Вкусвилла" такая: "Да, мы охуели, поэтому и делаем такие заявления. И что дальше? Неподъемный штраф в 50к мы оплатим если кто-то не поленится выставить"
Репутационные риски и прочие отмены не работают, так что поток томных безлактозных девачек и позитивных бородатеньких мальчиков не иссякнет, они так и будут дальше заказывать типа экобиовеганную (нет) продукцию

Ответить
Развернуть ветку
2 комментария
Альберт Базалеев

Вообще, вроде как нет такого понятия как публичные данные. Есть такая штука в законе как «общедоступные источники персональных данных».

Включение этих сведений в общедоступные источники допустимо только с письменного согласия субъекта персональных данных.

Так что нужно читать что написано в политике конфиденциальности. Скорее всего, это предусмотрели. Поэтому говорят об этом открытом называют данные публичными.

Ответить
Развернуть ветку
Valentin Dombrovsky

Я так понимаю, данные становятся персональными, если их можно связать с конкретным человеком. Или нет?

Ответить
Развернуть ветку
1 комментарий
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Василий Сафонов

скорее всего 60 т у них это стандарт

Ответить
Развернуть ветку
Сергей Я

Похоже пора учредить ежегодную премию для Digital и IT с номинацией "У кого больше всего слили данных клиентов".

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
2 комментария
Антон Т

Алло! Это служба безопасности ВкусВилла! На ваше имя оформлен заказ — вареники, курогрудка и пять литров молока! Скажите, вы совершали данную операцию? Фиксирую информацию!

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Maximus Severus

Поясните, что означает:
«…файлы, содержащие публичные данные некоторых наших покупателей…»
Почему эти данные публичные?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Иван Орехов

Тоже интересно стало когда даты и суммы заказов стали «публичными»

Ответить
Развернуть ветку
Илья Попов

Это потому, что кроме номера банковской карты там требуют другие размеры и номера тоже.

Ответить
Развернуть ветку
Сергей Я

Никогда такого не было, и....А нет, было, постоянно🙃

Ответить
Развернуть ветку
Вадим Д.

Ни секнды покоя, ни минуты покоя,
Если базы не слить, что же это такое?

Ответить
Развернуть ветку
Илья Попов

Вау, надо же чем-то заняться, развлечься. Вот, например, президент развлекается, а чем хуже население?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
1 комментарий
Zloy Marketolog

Платить штраф 60 тыс дешевле, чем проводить аудит за 600 тыс.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Альберт Базалеев

Меня больше другое расстраивает. То что персональные данные такие как фамилия, имя, личные телефоны, домашние адреса приравняли к кукисам, каким-то левым почтам, данным о браузере и т.п., потому что они косвенно могут указывать на человека. В итоге любой сайт могут вздернуть за куки, а когда происходит утечка баз данных с личной информацией, то особой ответственности за это может и не наступить.

Ответить
Развернуть ветку
Портянки Леры

Заплатят штраф 50.000 руб и забудут

Ответить
Развернуть ветку
Саша Антипов

Очень удобно власти сделали для компаний, у людей зп больше чем этот штраф.

Ответить
Развернуть ветку
4 комментария
Вадим Д.

Домашняя заготовка коронного номера удалась!
Ну вот, не успели доставку наладить в другие страны, как всё слили.

Ответить
Развернуть ветку
Илья Попов

Хорошо что вместе номеров банковских карт не требуют номер бюстгальтера. Представь себе какой шум поднялся бы.

Ответить
Развернуть ветку
1 комментарий
Thom322

А кому все эти базы нужны?
Народ уже приучен, всякие номероопределители и прочее.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
4 комментария
Рекорд Надоев

Я все никак не могу понять, это бот, притворяющийся человеком, или человек притворяющийся ботом?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
3 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Рекорд Надоев

И почему же нельзя несколько картинок к комменту

Ответить
Развернуть ветку
1 комментарий
Портянки Леры

Если по прафде, то у ВВ очень слабый IT, точнее его там вообще нет. Вся продуктовая разработка у кампании на аутсорс, а IT два человека. Скоро компания вообе посыпется

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Балкон.Ру
Ответить
Развернуть ветку
IvanLed

Похоже на затянувшийся челлендж

Ответить
Развернуть ветку
Водяной

60к штрафу этим "товарищам" это же не с ЛГБТ бороться

Ответить
Развернуть ветку
Парфён Рогожин

Пора завязывать с этими Интернетами

Ответить
Развернуть ветку
Dm

Страна маргинальная, законы не соблюдаются.

Ответить
Развернуть ветку
Вадим Д.

Так-так, кто там соль по 300 ₽ за 100 грамм покупал?

Ответить
Развернуть ветку
Андрей Иванов

петербуржцы

Ответить
Развернуть ветку
1 комментарий
Илья Попов

Вадим, клянусь мамой, не я.

Ответить
Развернуть ветку
2 комментария
Good Mood Duck

Кто у них там из публичного дома работает, если они персональные данные называют публичными?

Ответить
Развернуть ветку
Анна Келсо
Ответить
Развернуть ветку
kotova lidiya

Ну молодцы хотя бы, что нашли парочку яиц С0, чтобы признать. А то как ни утечка, все сразу - ничего не было, а если и было, то чуть-чуть, а если и не чуть-чуть, то только последняя циферка от номера телефона утекла, а если и не последняя...и так пока инфоповод не заглохнет и до следующего раза

Ответить
Развернуть ветку
Невероятный Блондин

По новому закону — это обязанность, а не личная инициатива.

Никаких яиц.

Ответить
Развернуть ветку
1 комментарий
Blisk

Необходимо срочно десять новых законов чтобы увеличить количество бюрократии!

Ответить
Развернуть ветку
Anton

Мне спамеры уже начали в Whatsapp звонить. 0_0

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Алексей Крупенко

Недавно видел вакансию, компания искала руководителя по работе с клиентом Вкусвилл, прямо публично висела на hh. Видимо кто-то из подрядчиков всё и слил.. Все эти "умники", которых нанимают непонятно зачем с этими аналитическими продуктами, хотя не могут сделать примитивных вещей типа повторения заказа...

Ответить
Развернуть ветку
Невероятный Блондин
утечка не коснулась «никаких угрожающих персональной безопасности данных». Например, имён, адресов и полных данных о банковских картах.

Телефон и email вполне себе ПД.
А совместив эти данные с известной базой утечек получаем всё остальное, включая адрес.

С хера ли «никаких угрожающих персональной безопасности данных»???
🤡🎪

Ответить
Развернуть ветку
Dori

Где посмотреть?

Ответить
Развернуть ветку
Elena M

А где базу увидеть? Подруга спрашивает 😅

Ответить
Развернуть ветку
Саша

надо штрафовать эту шваль на процент годовой выручки... хватит терпеть этот балаган. как забугорное - так по максимум, а как наше гавнецо - вот штраф в 60 тысяч тебе, который никто не заметят.

слили данные - вот тебе штраф в 10% от выручки, ибо нефиг.

Ответить
Развернуть ветку
Mila Mashkova

всех поздравляю с очередным сливом всех данных

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Фоксик

Уволили человека, который предположительно мог слить

Ответить
Развернуть ветку
1 комментарий
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Светлана Завацкая

Очередной скандал, а для компании минус 50000 рублей? Ну это смех гороховый…

Ответить
Развернуть ветку
Оксана Бакиева

А впрочем ничего нового

Ответить
Развернуть ветку
Ненавижу Лицемеров

Яндекс, Сдек, Вкусвил... Кто там еще? Надо бы уже список составлять

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Marianna Yaksarova

ФЗ 152, тогда еще на всех сайтах в формах стали добавлять текст «продолжая… я соглашаюсь с обработкой персональных данных».

Ответить
Развернуть ветку
Dima
«никаких угрожающих персональной безопасности данных»

Интересная интерпретация, а есть такое в правовом поле?)

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
1E0P4RD

60 косарей на бочку и рукожопим с данными пользователей дальше как ни в чем не бывало

Ответить
Развернуть ветку
Viktor Mann

60 000 руб. закрывают этот вопрос. А инфоповод - максимум на неделю бурление масс.

Ответить
Развернуть ветку
Kurt

Отлично! Будет кому номер скидочной карты вместо банковской диктовать!!)

Ответить
Развернуть ветку
Вася Пражкин

Ну это как минимум штраф 60 тыс. и фермерский подгон сотрудникам к Новому Году.

Ответить
Развернуть ветку
Император Нолимоций

Плакали 60 тысяч рублей :'( Поди, доставку в Армению обратно закроют на фоне таких былинных убытков.

Ответить
Развернуть ветку
Odin Sidh

))

Ответить
Развернуть ветку
dgf dhcg

Прикол))) Набери в яндексе - xiix

Ответить
Развернуть ветку
Artemy

Вот он какой - вкус вил!

Ответить
Развернуть ветку
Лена Прыгучая

Жесть. Ну спасибо.

Ответить
Развернуть ветку
Спелый Арбуз

капец... постоянно утечки везде идут

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
NotFop

Скажите мне, особо не сведущему , в чем профит этих данных? ФИО, что заказал и последних цифр карт. Как это может быть использовано??

Ответить
Развернуть ветку
Melissa Mata

Этих - ни в чём. Судя по статье, утечка была предотвращена на самом интересном месте.

Ответить
Развернуть ветку
Vasili Petrov

открытый вопрос, утечка ли? или слив?

Ответить
Развернуть ветку
Miro

Интересно, будет ли какая-то ответственность

Ответить
Развернуть ветку
Илья Фирсов

ничего ценного не украли, но закрыли лавочку с данными "за часы". но как понимаю как и раньше всем будет глубоко плевать куда их данные ушли и какие ;)

Ответить
Развернуть ветку
208 комментариев
Раскрывать всегда