Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Сообщество «ОВД-Инфо» заблокировали во «ВКонтакте» Политика, 02:22
«Коммерсантъ» узнал, что обвинение по делу Бинбанка сократили до ₽1 млн Финансы, 01:53
Небензя попросил генсека ООН уточнить периметр безопасности вокруг ЗАЭС Политика, 01:39
В Финляндии призвали заморозить проект ВСМ в направлении России Политика, 00:56
Участники конференции в Дании пообещали выделить Украине около €1,5 млрд Политика, 00:55
Как сделать компанию устойчивой к экономическим потрясениям РБК и Банк Точка, 00:16
США пригрозили Ирану санкциями за поставку беспилотников России Политика, 00:08
Небензя предупредил о «чудовищных провокациях» при выводе войск с ЗАЭС Политика, 00:01
РБК Comfort
Получайте рассылку с новостями, которые влияют на качество вашей жизни.
Подписаться за 99 ₽ в месяц
«Авито» зафиксировал рост спроса на посуточную аренду в России на 64% Недвижимость, 00:01
Гинцбург заявил о создании вакцины против трех новых видов «омикрона» Общество, 00:00
Хоккеист школы СКА умер после попадания шайбы в грудь Спорт, 11 авг, 23:54
ФИФА перенесла дату начала чемпионата мира в Катаре Спорт, 11 авг, 23:40
СБУ заподозрила, что военный в ходе интервью раскрыл планы армии Украины Политика, 11 авг, 23:37
Лист ожидания: как этический комитет по трасплантации может спасти жизни Партнерский проект, 11 авг, 23:35
Технологии и медиа ,  

Эксперты оценили объем попавших в Сеть данных клиентов доставки еды

Эксперты DLBI назвали число пострадавших от утечек данных клиентов сервисов доставки еды
По данным DLBI, только с февраля в Сеть могли утечь данные 8 млн клиентов различных сервисов доставки еды. Оценка не учитывает последний случай, произошедший с Delivery Club, который может побить предыдущие рекорды на этом рынке
Фото: Андрей Любимов / РБК
Фото: Андрей Любимов / РБК

С начала февраля по середину мая в открытый доступ попали данные более чем 8 млн пользователей сервисов доставки еды. Такую оценку РБК назвал представитель сервиса DLBI, который занимается изучением утечек данных и мониторингом даркнета.

Крупнейшие утечки данных были зафиксированы у сервисов «Яндекс.Еда» (более 6,8 млн пользователей) и «Два берега» (780 тыс. пользователей). На третьем месте в списке выявленных DLBI утечек — сайт hgclub.ru, принадлежащий оператору популярных ресторанных сетей «Росинтер Ресторантс Холдинг». Предположительно 2 мая в Сеть попали данные 106 тыс. пользователей. Остальные утечки пришлись на региональные сервисы с небольшим количество клиентов, однако подобных утечек было больше десяти.

1 марта сервис «Яндекс.Еда» сообщил об утечке номеров телефонов клиентов и информации об их заказах. Компания объяснила это недобросовестными действиями одного из сотрудников. В связи с этим сервис решил отказаться от ручной обработки информации, связанной с заказами, и уменьшить число сотрудников, которые имеют доступ к персональным данным.

Delivery Club сообщила об утечке данных о заказах пользователей
Технологии и медиа
Фото:Андрей Любимов / РБК

В конце марта в соцсетях начала распространяться ссылка на сайт, на котором были личные данные пользователей «Яндекс.Еды» в виде карты, там были указаны адрес доставки, телефон, электронная почта, сумма заказов за последние полгода. В середине апреля в Замоскворецкий суд Москвы из-за этой утечки поступил коллективный иск от пользователей «Яндекс.Еды». Они требуют компенсацию морального вреда в размере 100 тыс. руб. на каждого и чтобы «Яндекс» в течение месяца с момента вступления решения суда в силу разместил информацию о принятых мерах по обеспечению сохранности персональных данных.

В пятницу, 20 мая, об утечке данных клиентов также сообщил крупнейший сервис доставки еды в России Delivery Club. Число пострадавших пользователей в компании не назвали, лишь сообщили, что утекла информация о заказах без банковских реквизитов.

По информации Telegram-канала In4security, утекшая база заказов Delivery Club содержит 250 млн строк с персональными данными пользователей, включая Ф.И.О., адреса и информацию о заказах. Однако основатель DLBI Ашот Оганесян настаивает, что в выложенном образце около 1 млн строк, содержащих имя, номер телефона (более 827,7 тыс. уникальных номеров), адрес доставки, адрес электронной почты (более 183,8 уникальных), состав заказа и стоимость, IP-адрес (более 507,6 уникальных). Из дат и времени следует, что речь идет о заказах с 24 мая 2020-го по 4 июля 2021 года. «Каков реальный объем клиентских данных во всей базе, сказать сложно, так как экстраполяция доли уникальных пользователей в пробнике дает 50 млн клиентов, что вряд ли возможно. Однако можно говорить, что если реальный объем утечки соответствует заявленным 250 млн строк, то в руки злоумышленников попала большая часть или вся база заказов Delivery Club, и это — крупнейшая утечка из российских служб доставки на данный момент», — рассуждает Оганесян.

Pro
Фото: Matt Cardy / Getty Images По-старому уже не получится: кем заменить поставщиков инженерных систем
Pro
Фото: Shutterstock Платить придется больше: 5 секретов работы с китайскими партнерами
Pro
Фото: Sean Gallup / Getty Images Кто управляет криптовалютой и при чем здесь DAO
Pro
«Тонкое искусство пофигизма»: как перестать следовать навязанным целям
Pro
Фото: Роман Пименов / ТАСС Как получить деньги от продажи недвижимости в России, находясь за рубежом
Pro
Какие 5 ошибок снижают продажи на сайте
Pro
Фото: Shutterstock Сотрудники на удаленке стали хуже работать: как этично их контролировать
Pro
Как отбиться от обвинений в дроблении бизнеса — 12 доводов в вашу пользу

Клиенты «Яндекс.Еды» подали коллективный иск из-за утечки данных
Общество
Фото:Владислав Шатило / РБК

По словам главы AVG Legal Алексея Гавришева, компании — операторы персональных данных несут прежде всего репутационные риски при утечке данных своих пользователей. Согласно ст. 13.11 Административного кодекса, за нарушение законодательства в области персональных данных для юрлиц предусмотрен штраф в размере до 100 тыс. руб. Кроме того, клиенты, чьи персональные данные стали достоянием третьих лиц, могут предъявить компании гражданские иски, и они могут рассчитывать на удовлетворение своих требований, если докажут в суде наличие причинно-следственной связи между утечкой их персональных данных и наступления для них негативных последствий.

Почему растет число утечек

По словам Ашота Оганесяна, рост числа утечек данных пользователей может быть связан, с одной стороны, с падением продаж в сервисах доставки еды и следующим за ним сокращением издержек, как это ранее было с микрофинансовыми организациями, базы которых массово утекали после резкого сокращения этого рынка в 2018–2019 годах. С другой стороны, по его мнению, играет роль разрушение ИТ-инфраструктуры малого бизнеса, для поддержки которой активно использовались западные сервисы, часть которых сейчас оказались недоступными.

Другие эксперты по кибербезопасности затруднились оценить количество утечек в сегменте доставки еды. По словам эксперта по кибербезопасности «Лаборатории Касперского» Дмитрия Галова, если на специализированном форуме появилась информация о продаже базы данных, она не обязательно новая. «Она может быть скомпилированной из других баз или вообще не содержать никакой информации. И даже если базы действительно утекли, информация о пользователях может пересекаться», — рассуждает он. Возможный рост случаев утечек, по его мнению, может быть связан с ростом числа сервисов доставки еды на фоне пандемии, а также с тем, что созданием подобных компаний часто занимаются небольшие организации, у которых не всегда хватает ресурсов на поддержание высокого уровня безопасности при сборе и хранении данных.

Компании объяснили парсингом новые данные на карте с утечкой «Яндекс.Еды»
Технологии и медиа
Фото:Владислав Шатило / РБК

Руководитель направлений комплаенса и аудита управления информационной безопасности Softline Илья Тихонов отметил, что в компании наблюдают регулярные утечки в отрасли доставки еды, потому что такие сервисы собирают больше всего данных. Такие сервисы не относятся к категории критической инфраструктуры, финансовой или медицинской деятельности, и закон не обязывает их защищать сведения сильнее, чем в других отраслях. При этом базы данных сервисов доставки намного больше и имеют разветвленную структуру: внутри много пользователей, отделений, пунктов выдачи и т.д., то есть доступ к ним есть у многих лиц. «Подобные ресурсы привлекают злоумышленников тем, что объем персональных данных, которые оставляют их пользователи, достаточно велик (Ф.И.О., телефон, адрес электронной почты, адрес проживания, иногда платежные данные), — отметил представитель Softline. — Такая совокупность сведений имеет немалую ценность и может быть использована в самых разных противоправных сценариях».

Обычным людям предотвратить утечку крайне сложно — чтобы доставили заказ, придется оставить актуальный телефон и адрес в любом случае, напомнил руководитель аналитического центра компании Zecurion Владимир Ульянов. После этого пользователю «остается лишь надеяться, что данные будут защищены должным образом и не будут скомпрометированы».

Авторы
Теги