Как найти слитые данные яндекс еды

Данные клиентов сервиса «Яндекс.Еда» переложили на карту, в РФ этот сайт уже блокируется, Яндекс отрицает новую утечку

22 марта 2022 года в СМИ и различных телеграм-каналах появилась ссылка на сайт с интерактивной картой, на которой нанесены, согласно адресам, данные клиентов из утечки сервиса «Яндекс.Еда». Яндекс в курсе этой ситуации. Компания пояснила, что это не новая утечка, а визуализация данных из утечки, произошедшей в конце февраля.

«Никаких новых инцидентов в сфере информационной безопасности с 1 марта не было. Речь про утечку, о которой «Яндекс.Еда» рассказала 1 марта и тогда же уведомила всех затронутых пользователей по электронной почте», — сообщили в пресс-службе сервиса.

На карте можно найти такие данные клиентов: ФИО, телефон, адрес вплоть до квартиры, электронную почту, суммарную трату в «Еде» за полгода.

По соображениям безопасности Хабр не публикует ссылку на этот ресурс. В случае появления ссылки в комментариях к публикации, они будут закрыты. Пожалуйста, не выкладывайте ее тут.

В настоящее время доступ к этому сайту с картой заблокирован на территории РФ всеми провайдерами.

Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:

имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
полный адрес доставки клиента;
комментарии к заказу;
выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.

Пример выгрузки из утекшей базы данных сервиса «Яндекс.Еда».

1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.

Информационная безопасность
Визуализация данных
Облачные сервисы
Социальные сети и сообщества
IT-компании

«Яндекс»: мартовская утечка данных «Яндекс.Еды» произошла из-за атаки на стороннюю IT-инфраструкту, а не из-за инсайда

21 декабря 2022 года «Яндекс» рассказал, что мартовская утечка данных «Яндекс.Еды» произошла в результате атаки на стороннюю IT-инфраструктуру внешнего хостинга, где стояли виртуальные серверы FoodFox, подключённые через VPN в сеть «Яндекс Еды», а не «инсайда или раздолбайства» внутри компании.

Слева директор по защите данных «Яндекса» Иван Черевко, в яркой футболке директор по безопасности «Яндекса» Антон Карпов и рядом с ним технический директор «Яндекс Еды» Никита Илясов.

Заявление об инциденте прозвучало в подкасте Сергея Мезенцева на YouTube. По словам директора по безопасности компании Антона Карпова, злоумышленники взломали внешний хостинг, на котором располагались виртуальные машины сервиса. Эти серверы достались в «наследство» от компании-предшественника «Яндекс.Еды» под названием FoodFox.

«Это безусловно наша вина, но немного греет, что сломали не «Яндекс»», — заявил в подкасте Карпов. Сразу после того, как в компании убедились, что база данных — не компиляция и не фейк, они решили рассказать об этом своим пользователям. Первоначальную версию о сливе данных сотрудником в компании выдвинули потому, что там не видели следов взлома. Но дальнейшее расследование показало, что атака произошла через внешний хостинг за пределами «Яндекса».

Согласно судебным документам, «Яндекс Еда» получила статус потерпевшего по уголовному делу. В материалах дела указано, что злоумышленники атаковали сторонний хостинг, где были размещены виртуальные машины компании с доступом во внутреннюю систему. При этом инфраструктура «Яндекса» не была скомпрометирована, заверили в компании.

7 августа эксперт пояснил, почему из-за утечки «Яндекс.Еды», куда попали адреса клиентов, номера телефонов, электронная почта и суммы заказов за последние полгода, были возбуждены два уголовных дела, хотя по другим утечкам в этом году остальные компании, где произошёл инцидент, получали только административные штрафы до 100 тыс. рублей.

Эксперт в сфере информационной безопасности рассказал СМИ, что в основном утечки в российских компаниях происходят из-за проблем с уязвимостями в системах защиты, неправильной настройки серверов и систем хранения, в случае хакерских атак или инсайда с умышленными намерениями. По его мнению, в «Яндексе» произошло как раз последнее. В уголовных делах по этой утечке именно сотрудник компании (или группа лиц, причастных к инциденту), который совершил акт копирования и передачи данных клиентов третьим лицам, будет основным подозреваемым.

Уголовные дела по факту разглашения личных данных пользователей «Яндекс.Еды» возбуждены по трём статьям УК РФ: ч.1 ст.137 («Нарушение неприкосновенности частной жизни»), ч.3 ст.272 («Неправомерный доступ к компьютерной информации»); ч.2 ст.273 («Создание, использование и распространение вредоносных компьютерных программ»). Максимальным наказанием за эти правонарушения является лишение свободы на срок до пяти лет.

Представители «Яндекса» сообщили СМИ, что в курсе уголовных дел по утечке «Яндекс.Еды». В компании сотрудничают с правоохранительными органами по этой ситуации

«Заявление о незаконном доступе злоумышленников к данным пользователей мы подали в правоохранительные органы сразу же, как нам стало известно об инциденте. После этого Следственный комитет возбудил уголовное дело по факту хищения данных по ст. 137 (нарушение неприкосновенности частной жизни), 272 (Неправомерный доступ к компьютерной информации), 273 (Создание, использование и распространение вредоносных компьютерных программ) УК РФ. В настоящее время продолжается расследование и поиск злоумышленников»,
— пояснили Хабру в «Яндексе».

Хронология по реагированию на утечку «Яндекс.Еды» со стороны компании и надзорных ведомств

9 ноября 2022 года московский суд постановил выплатить в качестве компенсации 13 пользователям сервиса доставки «Яндекс Еда» по 5 тыс. рублей за утечку их персональных данных. Заявители иска требовали через суд от «Яндекса» компенсации в размере 100 тыс. рублей за утечку данных каждого пользователя.

В начале августа Следственный комитет РФ по запросу депутата Госдумы возбудил второе уголовное дело по факту разглашения личных данных пользователей и курьеров сервиса «Яндекс.Еда».

2 августа суд повторно оштрафовал «Яндекс.Еду» на 60 тыс. руб. за утечку персональных данных. Второе административное наказание было наложено за инцидент с утечкой информации о курьерах.

11 июля московский суд зарегистрировал протокол от Роскомнадзора на «Яндекс.Еду» по поводу утечки данных курьеров.

30 мая 2022 года Яндекс опроверг новую утечку данных и пояснил, что информация о курьерах сервиса доставки «Яндекс.Еда» утекла в конце февраля вместе с данными клиентов.

Первое уголовное дело по результатам проверки фактов утечки персональных данных пользователей сервиса «Яндекс.Еда» СК по тем же трём статьям УК РФ возбудил в конце апреля. Согласно пояснению депутата Госдумы, инициировавшего в СК РФ запрос по этой утечке. Следственные органы тогда начали комплекс следственных действий и оперативно-розыскных мероприятий, направленных на раскрытие указанных деяний и установление лиц, их совершивших.

21 апреля Мировой судья судебного участка района Замоскворечье в Москве оштрафовал на 60 тыс. рублей компанию «Яндекс.Еда» за утечку данных пользователей.

В марта в суд были поданы два коллективных иска на «Яндекс.Еду» из-за утечки персональных данных пользователей. В апреле исков уже стало три.

24 марта (спустя 26 дней после глобальной утечки данных) руководитель сервиса «Яндекс.Еда» Роман Маресов впервые пояснил ситуацию, прокомментировал инцидент и рассказал, что компания сделала не так и почему она так подвела пользователей.

23 марта Роскомнадзор сообщил о составлении протокола в отношении ООО «Яндекс.Еда» за нарушение законодательства в области персональных данных.

22 марта 2022 года в СМИ и различных телеграм-каналах появилась ссылка на сайт с интерактивной картой, на которой нанесены, согласно адресам, данные клиентов из утечки сервиса «Яндекс.Еда». На карте можно найти такие данные клиентов: ФИО, телефон, адрес вплоть до квартиры, электронную почту, суммарную трату в «Еде» за полгода. Яндекс пояснил, что это не новая утечка, а визуализация данных из утечки, произошедшей в конце февраля.

имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
полный адрес доставки клиента;
комментарии к заказу;
выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.

Информационная безопасность
IT-инфраструктура
Виртуализация
Облачные сервисы
IT-компании

В свободном доступе выложили архив сервиса «Яндекс.Еда» с данными заказов клиентов, «Яндекс» ранее подтвердил утечку

По информации Telegram-канала «Утечки информации», в свободном доступе появился архив сервиса «Яндекс.Еда» с данными заказов клиентов. «Яндекс» ранее подтвердил факт утечки, но не раскрывал ее детали.

Согласно данным по утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:

имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
полный адрес доставки клиента;
комментарии к заказу;
выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.

Пример выгрузки из утекшей базы данных сервиса «Яндекс.Еда».

По данным службы, в результате утечки в сети были опубликованы телефонные номера клиентов и информация об их заказах, в том числе состав и время доставки. В компании уверяют, что в утёкшей информации не содержались банковские платёжные или регистрационные данные пользователей сервиса; эта информация в безопасности, утверждают в «Яндексе».

В компании рассказали, что провели внутреннюю проверку. По её результатам был ужесточён подход к хранению чувствительной информации, в том числе, связанной с заказами клиентов. Компания уверяет, что предоставила этим данным необходимый уровень защиты, который сопоставим с уровнем защиты платёжных сведений. Кроме того, в сервисе исключат обработку такой информации вручную и втрое сократят число работников, которые имеют к ней доступ.

Команда «Яндекс.Еды» принесла извинения пользователям и пообещала, что отправит письмо с подробностями всем, кого коснулась утечка. В отношении провинившегося сотрудника «Яндекс» обещает принять законные меры. Компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к информации о клиентах, говорится в пресс-релизе на сайте «Яндекса».

Информационная безопасность
Социальные сети и сообщества
IT-компании

Как бренды реагируют на сливы данных. Яндекс Еда, Сбер, Туту.ру, Вкусно — и точка

Рассказываю о самых крупных сливах ваших данных, которые произошли за последний год. А ещё о том, как должны выглядеть антикризисные коммуникации.

Яндекс Еда и 58 000 адресов

Что за слив? В марте 2022 года злоумышленники получили имена, адреса, почты, номера телефонов и суммы заказов клиентов Яндекс Еды. После этого в свободном доступе появилась карта, где можно посмотреть слитые данные в определённых городах и найти адрес человека по имени.

Здесь — все данные 58 000 клиентов

Как выглядел антикризис. Сразу после слива Яндекс Еда отправила клиентам рассылку с заголовком «Безопасность ваших данных». Большинство клиентов не обратили внимание на рассылку, потому что она выглядела нейтрально:

24 марта после шума в медиа руководитель Яндекс Еды Роман Маресов написал статью в блог Яндекса «Данные, которые мы не уберегли, и уроки, которые мы извлекли». Роман извинился перед пользователями, рассказал, как компания решит проблему и не допустит такого в будущем. Плюс компания раздала клиентам промокоды на 5-10%.

18 мая данные пользователей дополнились информацией из Delivery Club, ГИБДД и других сервисов. Яндекс Еда в комментарии нескольким СМИ сказала, что к этим данным она уже не имеет отношения.

После статьи руководителя не было никакой антикризисной активности.

Чему кейс нас учит? Не умалчивать, когда появилась проблема. Если бы Яндекс 1 марта сделал рассылку с заголовком «Данные ваших заказов утекли в сеть», то возмущения после появления карты было бы меньше.

Плюс это история с открытым концом: данные ускользнули, статью написали, а что дальше? Спустя год клиенты не увидели изменений, а Яндекс Еда ничего не писала об усилении системы безопасности. В этой ситуации недосказанность вредит, нужно ставить точку.

Сбер и 54 600 000 строк данных

Что за слив? В марте этого года в сеть утекли 54 миллиона строк данных клиентов СберСпасибо. Туда попали адреса электронной почты, даты рождения, номера телефонов, даты регистрации и хэши некоторых карт.

Как выглядел антикризис. Сбер только дал комментарии СМИ, которые их запросили. Например, новостникам vc.ru:

Подобные сообщения возникают часто и как правило связаны с мошенниками, которые пытаются продать компиляции старых баз данных под видом оригинальных.

Представители СберСпасибо

СберСпасибо даже не упомянули об утечке в собственном телеграм-канале.

Некоторые клиенты жаловались, что после слива их деньги пытались украсть

Чему кейс нас учит? Всегда нужно прояснять ситуацию и публично говорить о сливе. Утекла база — сообщите об этом в своих каналах коммуникации и скажите, что всё в порядке. Когда из вас вытягивают комментарии СМИ, а вы говорите два предложения — это странно.

Небольшая утечка Туту.ру

Что за слив? В июле 2022 телеграм-канал Утечки информации сообщил, что часть пользовательских данных Туту.ру оказалась в открытом доступе. Там было 2,6 миллиона строк с именами, фамилиями, номерами и почтами клиентов, которые покупали билеты на автобусы.

Как выглядел антикризис. В тот же день сотрудник Туту.ру пошёл на Хабр и написал короткую статью «Нас взломали: часть данных билетов автобусов». Компания признала вину, уточнила, что утечка затронула 1% данных и рассказала, что сделала для смягчения последствий утечки.

Фрагмент статьи на Хабре

Плюс Туту анонсировали статью в соцсетях, чтобы о сливе узнали обычные клиенты. Круто, что сразу в тизере поста компания обнадёжила людей:

Анонс статьи в официальном телеграм-канале Туту.ру

Чему кейс нас учит? Моментальная правдивая реакция решает. В день слива вышла статья с заголовком «Нас взломали», — из-за этого в медиа не было много негатива, хотя утекли и данные банковских карт.

Если быстро публично отреагировать и признать вину, репутация пострадает меньше.

Вкусно — и точка: удар по HR-бренду

Что за слив? 27 мая канал in2security опубликовал детали утечки данных 300 000 соискателей компании.

Эту новость подхватили несколько СМИ

Как выглядел антикризис. Пресс-служба Вкусно — и точка рассказала ТАСС, что компания проверяет информацию об утечке.

На данный момент служба безопасности и IT-департамент проверяют достоверность утечки данных с сайта «Работа — и точка»

На этом всё… После релиза в ТАСС не было статей, извинений или постов в соцсетях.

Чему кейс нас учит? Эта ситуация — симбиоз кейса Яндекс Еды и Сбера. От Еды здесь открытый финал, а от Сбера — нежелание раскрыть полную картину ситуации. Создаётся ощущение, что компания ничего не решила и наплевала на репутацию.

Как выглядит нормальный антикризис

Главное правило хороших антикризисных коммуникаций — признать вину, искренне пытаться решить проблему и сообщить об этом.

За последний год из крупных утечек с этим более-менее справились Яндекс Еда и Туту.ру. Вот, какие два основных правила можно сформулировать:

1. Не сглаживать. Если бы Яндекс Еда сделала рассылку без смягчающего подтекста, потом негатива могло быть меньше.

2. Держать людей в курсе. Если вы решили проблему — напишите об этом. Если есть план действий, но пока нет решения — тоже расскажите клиентам и СМИ. Если поступить, как Вкусно — и точка, то можно легко потерять репутацию.