Появившиеся онлайн базы данных курьеров “утекли” раньше, говорят в обеих компаниях
Москва. 31 мая. INTERFAX.RU – Появившиеся в открытом доступе базы персональных данных курьеров сервисов доставки “Яндекс.Еда” и Delivery Club связаны с ранее выявленными утечками, новых потерь данных оба сервиса не зафиксировали.
30 мая телеграм-канал “Утечки информации”, администратором которого является основатель и техдиректор компании по кибербезопасности DeviceLock DLP Ашот Оганесян, сообщил о выложенных в открытый доступ файлах с персональными данными курьеров сервисов “Яндекс.Еда” и Delivery Club на сотни тысяч строк. “Речь идет именно про утечку данных курьеров, данные клиентов этих сервисов были “слиты” ранее”, – уточняется в сообщении.
Утверждается, что в файле суммарно более 1,2 млн строк с именами, отчествами и фамилиями, номерами телефонов, хешированными паролями, электронными почтами и другими данными.
“Две недели назад служба безопасности Delivery Club обнаружила утечку данных. Опубликованные данные курьеров – часть этого инцидента. Внутреннее расследование показало, что причиной утечки стало внешнее воздействие. Служба безопасности совместно с регулятором продолжает расследование инцидента и реализует комплекс мер по повышению защищенности внутренних систем”, сообщили “Интерфаксу” в пресс-службе Delivery Club 31 мая.
В пресс-службе “Яндекс.Еды” сказали, что новых инцидентов с 1 марта не зафиксировано.
“Речь идет о той же утечке, о которой мы сообщили 1 марта. Наша служба безопасности изучила фрагмент опубликованной базы и подтвердила, что данные о партнерах, которые доставляют заказы, оказалась в руках злоумышленников одновременно с данными о заказах. Новых инцидентов мы не фиксировали”, – сообщил представитель сервиса.
С момента обнаружения утечки все системы “Яндекс.Еды” прошли многоуровневый аудит безопасности, ужесточены политики хранения данных, ограничено число сотрудников, которые имеют доступ к чувствительной информации, заверил он.
“Злоумышленники не смогут получить доступ к аккаунтам курьеров, хэши паролей из утечки относятся к деактивированному приложению, которое давно не используется”, – заявили в пресс-службе.
1 марта сервис “Яндекс.Еда” сообщил, что его служба безопасности выявила утечку информации пользователей, касающейся телефонных номеров и информации о заказах. Они были опубликованы “в результате недобросовестных действий одного из сотрудников”, сообщала компания. При этом в компании заверяли, что утечка не коснулась банковских и платежных данных клиентов, а также логинов и паролей. Роскомнадзор составил административный протокол в отношении ООО “Яндекс.Еда”. 21 апреля мировой суд оштрафовал “Яндекс.Еду” на 60 тыс. рублей за утечку персональных данных пользователей.
18 мая Forbes сообщил, что создатели карты с визуализацией данных пользователей “Яндекс.Еды”, которая появилась в марте, существенно дополнили ее. Теперь в ней появились данные из ГИБДД, СДЭКа, Avito, Wildberries, “Билайна”, ВТБ и других организаций. РКН заблокировал ресурс. МВД опровергло факт утечки базы ГИБДД, большинство компаний также заявили, что у них такого не произошло.
20 мая в соцсетях появилась информация о базе данных клиентов службы доставки Delivery Club, состоящей из 250 млн строк. В компании утечку подтвердили, принесли извинения и пообещали усилить защиту данных. РКН в свою очередь запросил компанию о деталях этой утечки.