Яндекс.Еда и Delivery Club не подтверждают новых утечек данных
Сервисы доставки Яндекс.Еда и Delivery Club сообщили, что появившаяся в открытом доступе база персональных данных курьеров относится к ранее выявленным утечкам, новых потерь данных не зафиксировано.
30 мая в телегам-канале "Утечки информации", администратором которого является основатель и технический директор компании по кибербезопасности DeviceLock DLP Ашот Оганесян, появилось сообщение о выложенных в открытый доступ файлах с персональными данными курьеров сервисов "Яндекс.Еда" и Delivery Club. "Речь идет именно про утечку данных курьеров, данные клиентов этих сервисов были "слиты" ранее", — уточняется в сообщении.
Утверждается, что в файле суммарно более 1,2 млн строк с ФИО, телефонами, хешированными паролями, электронными почтами и другими данными.
"Две недели назад служба безопасности Delivery Club обнаружила утечку данных. Опубликованные данные курьеров - часть этого инцидента. Внутреннее расследование показало, что причиной утечки стало внешнее воздействие. Служба безопасности совместно с регулятором продолжает расследование инцидента и реализует комплекс мер по повышению защищенности внутренних систем", — сообщили "Интерфаксу" в пресс-службе Delivery Club во вторник.
В пресс-службе "Яндекс.Еды" сообщили, что новых инцидентов с 1 марта не зафиксировано.
"Речь идет о той же утечке, о которой мы сообщили 1 марта. Наша служба безопасности изучила фрагмент опубликованной базы и подтвердила, что данные о партнерах, которые доставляют заказы, оказалась в руках злоумышленников одновременно с данными о заказах. Новых инцидентов мы не фиксировали", — сообщили "Интерфаксу" в пресс-службе сервиса.
В компании отметили, что с момента обнаружения утечки все системы "Яндекс.Еды" прошли многоуровневый аудит безопасности, ужесточены политики хранения данных, ограничено число сотрудников, которые имеют доступ к чувствительной информации.
"Злоумышленники не смогут получить доступ к аккаунтам курьеров, хэши паролей из утечки относятся к деактивированному приложению, которое давно не используется", — заявили в пресс-службе. Там заверили, что предпринимают все возможное для предотвращения распространения данных.
1 марта сервис "Яндекс.Еда" сообщил, что его служба безопасности выявила утечку информации пользователей, касающейся телефонных номеров и информации о заказах. Они были опубликованы "в результате недобросовестных действий одного из сотрудников", сообщала компания. При этом в компании заверяли, что утечка не коснулась банковских и платежных данных клиентов, а также логинов и паролей. Роскомнадзор составил административный протокол в отношении ООО "Яндекс.Еда". 21 апреля мировой суд оштрафовал "Яндекс.Еду" на 60 тыс. рублей за утечку персональных данных пользователей.
18 мая Forbes сообщил, что создатели карты с визуализацией данных пользователей "Яндекс.Еды", которая появилась в марте, существенно дополнили ее. Теперь в ней появились данные из ГИБДД, СДЭКа, Avito, Wildberries, "Билайна", ВТБ и др. РКН заблокировал ресурс. МВД опровергло факт утечки базы ГИБДД, большинство компаний также заявили, что у них их не было.
20 мая в соцсетях появилась информация о базе данных клиентов службы доставки Delivery Club, состоящей из 250 млн строк. В компании утечку подтвердили, принесли извинения и пообещали усилить защиту данных. РКН в свою очередь запросил компанию о деталях этой утечки.