Накануне в одном из телеграм-каналов появилась ссылка на интерактивную карту с личными данными клиентов сервиса «Яндекс.Еда». В открытом доступе оказались более 100 тысяч данных Накануне в одном из телеграм-каналов появилась ссылка на интерактивную карту с личными данными клиентов сервиса «Яндекс.Еда». В открытом доступе оказалось более 100 тыс. данных

Теперь все знают, что вы ели прошлым летом: в сеть слили данные клиентов «Яндекс.Еды»

Накануне в одном из телеграм-каналов появилась ссылка на интерактивную карту с личными данными клиентов сервиса «Яндекс.Еда». В открытом доступе оказалось более 100 тыс. данных — имена, фамилии, телефонные номера, адреса, электронная почта и общая сумма заказов россиян за последние полгода. На карте отражаются также данные соседней Беларуси и Казахстана. Чтобы воспользоваться картой, достаточно перейти по ссылке, выбрать населенный пункт и укрупнить масштаб до городских кварталов. В крупных городах практически напротив каждого дома расставлены метки, за каждой из которых кроются данные пользователей сервиса.

В «комплекте» с картой идет вторая ссылка — на сервис по поиску заказчиков по номеру телефона или фамилии. В преамбуле к поисковику сообщается, что после начала спецоперации России на Украине в результате массовых кибератак на веб-ресурсы РФ множество личных данных было незаконно выложено в сеть. «Мы публикуем базу с персональной информацией россиян, которой могут воспользоваться с целью запугивания и обмана. Вы можете проверить по телефону или фамилии, какая информация есть у преступников, чтобы понимать риски. Предупрежден — значит вооружен!» В ответ на номер телефона или фамилию в поисковой выдаче появляется список заказчиков (насколько он будет большим, зависит от популярности фамилии), их имена или названия юрлиц, электронная почта и телефоны с подробными адресами, вплоть до этажа и номера квартиры.

По информации создателей базы, всего в сеть утекли данные 30 млн пользователей «Яндекс.Еды», но можно ли этому верить, неизвестно. В марте 2021 года СМИ сообщали оценочное число пользователей сервиса — более 5 млн человек. Сама компания количество пользователей не раскрывает.

Публикация карты и поисковика запустила развлекательный аттракцион «найди себя и своего друга». Пользователи интернета в России через нехитрые манипуляции начали искать, насколько велики аппетиты их знакомых, соседей и VIP-персон, которые делали заказы от своего имени.

На названных сайтах указаны номера телефонов, позвонив по которым, можно попросить удалить личную информацию. По первому номеру корреспондент «БИЗНЕС Online» не смогла дозвониться, а по второму трубку снял мужчина, который сообщил, что произошла какая-то ошибка и его уже несколько раз побеспокоили с таким вопросом. На этих ресурсах также размещены гиперссылки на инструкции по аморальным или преступным действиям. Они ведут на размещенные в сети материалы, которые рассказывают, как шантажировать людей в соцсетях, как можно обокрасть чужую квартиру или не оставить следов на месте преступления. Часть гиперссылок уже заблокирована.

Пользователи интернета в России через нехитрые манипуляции начали искать, насколько велики аппетиты их знакомых, соседей и вип-персон, которые делали заказы от своего имени Пользователи интернета в России через нехитрые манипуляции начали искать, насколько велики аппетиты их знакомых, соседей и VIP-персон, которые делали заказы от своего имени

«Яндекс.Еда»: виновного накажут, данные защитят

Сообщения об утечке данных в последнее время появляются нередко, об одном из самых масштабных сливов СМИ сообщали в 2019 году. Тогда данные как минимум 5 тыс. кредитных карт клиентов Сбербанка в сеть выгрузил начальник сектора управления прямых продаж. Сотрудник Сбера воспользовался правами администратора, корпоративной почтой и флеш-картой на 8 Гб. На всю операцию у него ушло 10 часов, сообщает РБК. Кража данных «Яндекс.Еды» отличается не только бо́льшим числом потерпевших, но и визуализацией данных, переводом их в интерактивный формат, что дает людям возможность оценить размах преступления.

Напомним, первая информация о взломе базы данных «Яндекс.Еды» появилась еще 1 марта, но тогда было невозможно оценить масштаб бедствия, поскольку не была составлена система поиска, а информация о заказчиках не была нанесена на карту. 1 и 2 марта пользователи сервиса получали одинаковые письма, в которых служба информационной безопасности «Яндекс.Еды» сообщала о выявлении «внутренней утечки данных о заказах в сервисе». «В интернет попали номера телефонов наших клиентов и техническая информация о заказах: дата создания, состав и другие подробности. Утечка не коснулась банковских и платежных данных, логинов и паролей — они в безопасности», — убеждали авторы рассылки. Служба безопасности также предупредила, что в отношении виновных в утечке будут приняты установленные законом меры, подход к хранению информации о заказах был ужесточен, а уровень защиты и мониторинг доступов к критичным данным усилен.

По сообщениям пресс-службы «Яндекса», данные слил один из сотрудников компании. «В отношении виновного в утечке сотрудника будут приняты установленные законом меры. „Яндекс.Еда“ обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все, для того чтобы предотвратить распространение опубликованной информации», — заявила СМИ представитель пресс-службы «Яндекса» Елена Новикова.

Сегодня пиар-менеджер фудтех-направления «Яндекс.Такси» Дарья Страхова рассказала журналисту «БИЗНЕС Online» о том, что для минимизации распространения массива данных компания продолжает работать с владельцами ресурсов, которые могут использовать злоумышленники. Отметим, некоторые телеграм-каналы сообщали, что вместе с адресами и телефонами пользователей были украдены их паспортные данные, но Страхова назвала эту информацию недостоверной. Сколько всего клиентов пострадало при беспрецедентной утечке, она не смогла уточнить.

В «Яндексе» также указали на то, что опубликованная информация может быть собрана из разных баз разной давности. «Данный сайт может быть небезопасен, мы рекомендуем вам не проверять информацию через него и не звонить по указанным номерам. Мы на связи с правоохранительными органами и предпринимаем меры, чтобы ограничить распространение данных», — сообщили в «Яндекс.Еде».

В компании нашему корреспонденту добавили, что ресурс с визуальной картой сейчас уже недоступен. Но в действительности наш журналист с легкостью смог воспользоваться как интерактивной картой, так и системой поиска заказчиков. Более того, любой желающий может скачать все находящиеся в базе персональные данные клиентов сервиса.

Сервис «Яндекс.Еда» опроверг сообщения о новой утечке данных пользователей. «Никаких новых инцидентов в сфере информационной безопасности с 1 марта не было. Речь об утечке, о которой „Яндекс.Еда“ рассказала 1 марта, и тогда же уведомили всех затронутых пользователей по электронной почте», — сообщили в пресс-службе сервиса.

В Казани и прилегающим к столице РТ районам, включая Зеленодольскую агломерацию, зафиксировано почти 60 тыс. пользователей сервиса «Яндекс.Еда» В Казани и прилегающих к столице РТ районах, включая Зеленодольскую агломерацию, зафиксированы почти 60 тыс. пользователей сервиса «Яндекс.Еда»

60 тыс. заказчиков из Татарстана: чиновники, политики, бизнесмены

В Казани и прилегающих к столице РТ районах, включая Зеленодольскую агломерацию, зафиксированы почти 60 тыс. пользователей сервиса «Яндекс.Еда». Куда меньше заказчиков в Набережных Челнах — 340, Нижнекамске — 116 и Альметьевске — 154.

Заказы по расположенным в столице РТ зданиям распределяются неоднородно и делятся на «домашние» и «рабочие». Например, на территории Казанского кремля зафиксирована деятельность порядка 70 заказчиков, в здании на площади Свободы, 1 их 7, а в Госсовете РТ — 5. В выходных данных указывается полное имя заказчика (иногда есть только имя или аббревиатура), его номер телефона, адрес, электронная почта, тип операционной системы телефона (iphone или android) и потраченная за 6 месяцев на заказы сумма. К примеру, в Госсовете РТ пять пользователей за полгода потратили совокупно почти 140 тыс. рублей. Причем один заказчик за это время потратил 86,5 тыс. рублей, а другой — 312 рублей. В ЖК «Суворовский» — 105 клиентов «Яндекс.Еды», а в «ЖК «Пять звезд» — почти 500.

Среди заказчиков фигурируют и VIP-персоны. Например, один из жителей ЖК «Кристалл», сын высокопоставленного чиновника, за полгода заказал через сервис еды или продуктов на 25 тыс. рублей. Председатель одного из госкомитетов РТ, проживающий в ЖК «Берег», потратил 8 тыс. рублей. Проживающий на улице Щапова директор одного из крупных агрохолдингов потратил более 55 тыс. рублей. В Боровом Матюшино у одного из игроков баскетбольного клуба «Зенит» на заказы в «Яндекс.Еде» ушло почти 30 тыс. рублей.

«Стоит завести для онлайн заказов отдельную банковскую карту с небольшим количеством денег и отдельный почтовый ящик, на котором не будет никакой переписки» «Стоит завести для онлайн-заказов отдельную банковскую карту с небольшим количеством денег и отдельный почтовый ящик, на котором не будет никакой переписки»

«Нельзя доказать ущерб, который может наступить только через какое-то время»

По просьбе «БИЗНЕС Online» эксперты оценили масштабы утечки и объяснили, что делать тем, чьи данные украли.

Владимир Ульянов — руководитель аналитического центра Zecurion:

— С тем, что ваши данные оказались скомпрометированы, уже ничего не сделаешь. Когда мы заполняем анкеты, передаем данные, мы их уже не контролируем и можем лишь надеяться, что они не будут взломаны и не утекут.

Сейчас надо иметь в виду, что мошенники могут использовать эти данные для реализации своих схем. Мошенники звонят, представляются кем-то, просят перевести деньги, продиктовать СМС-код или еще что-то. Если они звонят наугад, эффективность этих звонков крайне низка. Если есть такие базы и мошенники располагают данными о жертве, они могут придумать более правдоподобные истории, и жертва поверит.

К сожалению, такие истории случаются довольно часто по всему миру. Чаще всего причиной утечек становятся собственные сотрудники. Задача у них проста: переслать базы по интернету, скопировать на флешку, и сделать это можно сейчас практически мгновенно и бесследно. Не всегда даже компании могут понять, кто стал виновником произошедшего.

Сервисами с базами слитых данных я не рекомендую пользоваться среднестатистическому человеку: высока вероятность нарваться на мошеннические ресурсы. Большинство из них сами собирают информацию: хочешь узнать, не скомпрометирована ли твоя банковская карта — введи ее номер! И люди вводят, не задумываясь, что подарили свои персональные данные неизвестно кому.

Олег Седов — эксперт по информационной безопасности:

— Это не первая и, к сожалению, не последняя утечка данных, надо готовиться к тому, что их будет все больше. Я бы отметил две характерные причины нашего времени, которые мотивируют утечки. Во-первых, формула нашего времени: «Для кого беда*, а для кого мать родна» (*тут слово, запрещенное по распоряжению Роскомнадзора и прочих уполномоченных). В принципе, так было всегда. Но сейчас все многократно перегрето и усилено. Сотрудники, которые еще вчера были мотивированны и лояльны компании, могут неожиданно начать работать против компании по личным политическим мотивам. Понимание, что нельзя работать в компании и быть против нее, непременно придет позже, но сейчас все в крайностях. Поэтому корпоративным службам ИБ будет нелишним усилить контроль за поведением сотрудников. Любые отклонения от привычных паттернов должны вызывать повышенное внимание. Очевидно, что без средств автоматизации, например DLP-систем, эти задачи решить крайне сложно (иначе глаза будут в кровавых мозолях у смотрящих). Никакие политические мотивы не могут оправдать действия злоумышленников!

А во-вторых, к хищению баз данных мотивируют и перспективы экономики. Это подталкивает сотрудников, которые были лояльными еще вчера, искать дополнительный заработок. Цены растут, перспективы неясны, повышение зарплаты не ожидается, так что люди пытаются унести с работы что-то, что можно выгодно продать. Например, базу данных. Это уже задача для HR, которым нужно работать с лояльностью персонала, а не провоцировать последних на дополнительные заработки, в том числе кражу корпоративных ценностей. Данные уже давно относятся к ценному товару.

Но никакие действия корпоративных экспертов не освобождают рядовых граждан от привычных правил кибергигиены.

Объемы утечек растут, частота их не снижается, и последствия не заставляют себя долго ждать. Как правило, мы не можем проверить, были ли именно наши данные в слитой базе. А даже если можем — нельзя доказать ущерб, который может наступить только через какое-то время.

В современных условиях у криминала только одна проблема — у них никогда не бывает много адресов потенциальных жертв. Они готовы в дело пустить все, что смогут получить в свои руки. У преступных групп есть несколько сценариев, как действовать, как только появится список проверенных адресов потенциальных жертв. Базы поступают в этот криминальный котел, как некое топливо, его фигуранты могут пострадать. Доказать, что конкретно эта рассылка привела к криминальной ситуации, практически нереально. Лучше до этого не доводить. Отказаться от сервисов уже не получится, но рассчитывать, что кто-то наши данные защитит так же надежно, как и мы сами, как минимум странно. Никто нас не освобождал от кибергигиены.

Мы не рекомендуем сообщать о себе недостоверные сведения, например имейл: часто с этого адреса нужно подтвердить заказ, иначе его отменят. Советуем завести отдельную почту для некритичных ресурсов: заказов еды и прочего.

Нужно регулярно обновлять надежные пароли в личных кабинетах и на сервисах. Старайтесь не сообщать онлайн-сервисам слишком много данных о себе. Сейчас может появиться много фейковых ресурсов под брендами тех компаний, которые уходят с рынка, предлагая, например, распродажу остатков со склада. И получится странная ситуация: люди ввели данные, ничего не оплатили и заказ не получили. Создается впечатление, что пострадавших нет, раз никто деньги не потерял, но данные-то были собраны.

В-третьих, стоит завести для онлайн-заказов отдельную банковскую карту с небольшим количеством денег и отдельный почтовый ящик, на котором не будет никакой переписки. Заводить отдельную сим-карту сложнее, лучше со своей не отвечать на звонки с незнакомых номеров.

Тем, кто твердо знает, что его данные утекли, нужно обновить все пароли, проверить свои устройства антивирусами (лучше двумя-тремя) и понимать, что все ресурсы, которые привязаны к этим данным, могут пострадать. И обратиться в правоохранительные органы.

Чем больше мы будем сообщать об этом, тем бо́льшим будет опыт борьбы с киберкриминалом у правоохранительных органов, тем выше станет раскрываемость. Если вы нашли себя в этой базе данных, как минимум нельзя это замалчивать. Любое настоятельное требование трепетно относиться к данным и не пускать на самотек подобные инциденты дисциплинирует и поставщиков услуг, и правоохранительные органы.