В открытый доступ попала база заказов сервиса «Яндекс.Еда», содержащая контактные данные сотен тысяч клиентов: адреса, номера телефонов, суммы, комментарии для курьеров и другую информацию о покупках в 2021–2022 годах. Опубликована информация о 202 405 покупках ростовчан.
Утечка произошла около месяца назад, но широко известно о ней стало 23 марта, когда появился сайт с визуализацией украденных у компании данных.
— 1 марта мы официально уведомили об утечке данных о заказах. <...> Данные платежных карт и логины и пароли утечка не затронула — они в безопасности. Никаких новых инцидентов в сфере информационной безопасности с тех пор не зафиксировано. Мы работаем с правоохранительными органами и владельцами ресурсов, которые могут использовать злоумышленники, чтобы минимизировать распространение массива данных. Ресурс с визуализацией данных сейчас уже недоступен, — отмечено в заявлении «Яндекса».
Ранее компания объяснила утечку «недобросовестными действиями одного из сотрудников». В «Яндексе» заявили, что «ужесточили подход к хранению чувствительной информации, в том числе связанной с заказами, и обеспечат ей уровень защиты, сопоставимый с уровнем защиты платежной информации».
Что могут узнать те, кто уже получил доступ к данным?
Ваше имя и привязанный к аккаунту номер телефона;
адрес вашей электронной почты;
вашу фамилию и отчество — если вы указали эти данные;
точное место, откуда был сделан заказ (по геоданным);
адрес, куда вы заказали еду;
код домофона, номер этажа, квартиры — если вы указали эти данные;
время и дату заказа;
сумму заказа;
комментарий, который вы оставили для курьера;
модель вашего телефона (Android или iPhone), данные о приложении.
23 марта Роскомнадзор заблокировал сайт с картой, на которой визуализировали информацию пользователей «Яндекс.Еды», но массивы данных остаются в открытом доступе.