Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.
Лента новостей
Москвичей предупредили о субтропической жаре Общество, 19:39
Не менее 22 тел подростков нашли в баре в ЮАР Общество, 19:31
Панарин фразой «семеру отмотал, но прогресса нет» оценил свой английский Спорт, 19:24
Bloomberg узнал о решении G7 оказывать военную помощь Украине бессрочно Политика, 19:20
Некровный донор: как снизить дефицит органов для пересадки в России Партнерский проект, 19:12
Промес назвал хорошим профессионалом нового главного тренера «Спартака» Спорт, 19:07
Блинкен оценил ущерб России от запрета G7 на импорт золота Политика, 19:06
Аналитики предупредили о риске «переломного момента» из-за роста инфляции Экономика, 18:42
В Крыму заявили о новом обстреле платформы «Черноморнефтегаза» Политика, 18:31
Гол новичка из Бразилии принес «Локомотиву» победу над клубом Первой лиги Спорт, 18:29
Какие практики помогают «отключиться» от мира, чтобы узнать себя РБК и ГАЛС, 18:11
Захарова сочла заявления Джонсона по Украине примером британского юмора Политика, 18:07
Иран запустил ракету-носитель на фоне возобновления переговоров по атому Политика, 17:53
Российская звезда НХЛ рассказал о своем психическом расстройстве Спорт, 17:51

Инвестируйте выгодно
с банком «Ренессанс Кредит»

КБ «Ренессанс Кредит» (ООО). Лицензия на осуществление брокерской деятельности № 045-14081-100000 от 05.11.2019 г.
Технологии и медиа ,  
0 

Эксперты оценили объем попавших в Сеть данных клиентов доставки еды

Эксперты DLBI назвали число пострадавших от утечек данных клиентов сервисов доставки еды
По данным DLBI, только с февраля в Сеть могли утечь данные 8 млн клиентов различных сервисов доставки еды. Оценка не учитывает последний случай, произошедший с Delivery Club, который может побить предыдущие рекорды на этом рынке
Фото: Андрей Любимов / РБК
Фото: Андрей Любимов / РБК

С начала февраля по середину мая в открытый доступ попали данные более чем 8 млн пользователей сервисов доставки еды. Такую оценку РБК назвал представитель сервиса DLBI, который занимается изучением утечек данных и мониторингом даркнета.

Крупнейшие утечки данных были зафиксированы у сервисов «Яндекс.Еда» (более 6,8 млн пользователей) и «Два берега» (780 тыс. пользователей). На третьем месте в списке выявленных DLBI утечек — сайт hgclub.ru, принадлежащий оператору популярных ресторанных сетей «Росинтер Ресторантс Холдинг». Предположительно 2 мая в Сеть попали данные 106 тыс. пользователей. Остальные утечки пришлись на региональные сервисы с небольшим количество клиентов, однако подобных утечек было больше десяти.

1 марта сервис «Яндекс.Еда» сообщил об утечке номеров телефонов клиентов и информации об их заказах. Компания объяснила это недобросовестными действиями одного из сотрудников. В связи с этим сервис решил отказаться от ручной обработки информации, связанной с заказами, и уменьшить число сотрудников, которые имеют доступ к персональным данным.

Delivery Club сообщила об утечке данных о заказах пользователей
Технологии и медиа
Фото:Андрей Любимов / РБК

В конце марта в соцсетях начала распространяться ссылка на сайт, на котором были личные данные пользователей «Яндекс.Еды» в виде карты, там были указаны адрес доставки, телефон, электронная почта, сумма заказов за последние полгода. В середине апреля в Замоскворецкий суд Москвы из-за этой утечки поступил коллективный иск от пользователей «Яндекс.Еды». Они требуют компенсацию морального вреда в размере 100 тыс. руб. на каждого и чтобы «Яндекс» в течение месяца с момента вступления решения суда в силу разместил информацию о принятых мерах по обеспечению сохранности персональных данных.

В пятницу, 20 мая, об утечке данных клиентов также сообщил крупнейший сервис доставки еды в России Delivery Club. Число пострадавших пользователей в компании не назвали, лишь сообщили, что утекла информация о заказах без банковских реквизитов.

По информации Telegram-канала In4security, утекшая база заказов Delivery Club содержит 250 млн строк с персональными данными пользователей, включая Ф.И.О., адреса и информацию о заказах. Однако основатель DLBI Ашот Оганесян настаивает, что в выложенном образце около 1 млн строк, содержащих имя, номер телефона (более 827,7 тыс. уникальных номеров), адрес доставки, адрес электронной почты (более 183,8 уникальных), состав заказа и стоимость, IP-адрес (более 507,6 уникальных). Из дат и времени следует, что речь идет о заказах с 24 мая 2020-го по 4 июля 2021 года. «Каков реальный объем клиентских данных во всей базе, сказать сложно, так как экстраполяция доли уникальных пользователей в пробнике дает 50 млн клиентов, что вряд ли возможно. Однако можно говорить, что если реальный объем утечки соответствует заявленным 250 млн строк, то в руки злоумышленников попала большая часть или вся база заказов Delivery Club, и это — крупнейшая утечка из российских служб доставки на данный момент», — рассуждает Оганесян.

Pro
Фото: Shutterstock Microsoft или Netflix: кто станет лидером на рынке гейминга. Дайджест
Pro
Фото: Jack Taylor / Getty Images Польза сожалений и сила искреннего веселья: 5 свежих книг о саморазвитии
Pro
Три полезных упражнения, которые помогут победить стеснительность
Pro
Фото: Shutterstock «Пришли мне это АСАП. Заранее СПС»: фразы — враги эффективной переписки
Pro
Фото: Shutterstock Конкурент торгует на маркетплейсе под вашим товарным знаком. Что делать
Pro
46 тыс. человек потеряли свои деньги. Как обвалился рынок криптовалют
Pro
Фото: Ralph Orlowski / Getty Images Эмоциональный голод: что это такое и как он приводит к перееданию
Pro
Фото: Marivi Pazos / Unsplash Как ухаживать за кожей после 35 лет: 5 важных правил

Клиенты «Яндекс.Еды» подали коллективный иск из-за утечки данных
Общество
Фото:Владислав Шатило / РБК

По словам главы AVG Legal Алексея Гавришева, компании — операторы персональных данных несут прежде всего репутационные риски при утечке данных своих пользователей. Согласно ст. 13.11 Административного кодекса, за нарушение законодательства в области персональных данных для юрлиц предусмотрен штраф в размере до 100 тыс. руб. Кроме того, клиенты, чьи персональные данные стали достоянием третьих лиц, могут предъявить компании гражданские иски, и они могут рассчитывать на удовлетворение своих требований, если докажут в суде наличие причинно-следственной связи между утечкой их персональных данных и наступления для них негативных последствий.

Почему растет число утечек

По словам Ашота Оганесяна, рост числа утечек данных пользователей может быть связан, с одной стороны, с падением продаж в сервисах доставки еды и следующим за ним сокращением издержек, как это ранее было с микрофинансовыми организациями, базы которых массово утекали после резкого сокращения этого рынка в 2018–2019 годах. С другой стороны, по его мнению, играет роль разрушение ИТ-инфраструктуры малого бизнеса, для поддержки которой активно использовались западные сервисы, часть которых сейчас оказались недоступными.

Другие эксперты по кибербезопасности затруднились оценить количество утечек в сегменте доставки еды. По словам эксперта по кибербезопасности «Лаборатории Касперского» Дмитрия Галова, если на специализированном форуме появилась информация о продаже базы данных, она не обязательно новая. «Она может быть скомпилированной из других баз или вообще не содержать никакой информации. И даже если базы действительно утекли, информация о пользователях может пересекаться», — рассуждает он. Возможный рост случаев утечек, по его мнению, может быть связан с ростом числа сервисов доставки еды на фоне пандемии, а также с тем, что созданием подобных компаний часто занимаются небольшие организации, у которых не всегда хватает ресурсов на поддержание высокого уровня безопасности при сборе и хранении данных.

Компании объяснили парсингом новые данные на карте с утечкой «Яндекс.Еды»
Технологии и медиа
Фото:Владислав Шатило / РБК

Руководитель направлений комплаенса и аудита управления информационной безопасности Softline Илья Тихонов отметил, что в компании наблюдают регулярные утечки в отрасли доставки еды, потому что такие сервисы собирают больше всего данных. Такие сервисы не относятся к категории критической инфраструктуры, финансовой или медицинской деятельности, и закон не обязывает их защищать сведения сильнее, чем в других отраслях. При этом базы данных сервисов доставки намного больше и имеют разветвленную структуру: внутри много пользователей, отделений, пунктов выдачи и т.д., то есть доступ к ним есть у многих лиц. «Подобные ресурсы привлекают злоумышленников тем, что объем персональных данных, которые оставляют их пользователи, достаточно велик (Ф.И.О., телефон, адрес электронной почты, адрес проживания, иногда платежные данные), — отметил представитель Softline. — Такая совокупность сведений имеет немалую ценность и может быть использована в самых разных противоправных сценариях».

Обычным людям предотвратить утечку крайне сложно — чтобы доставили заказ, придется оставить актуальный телефон и адрес в любом случае, напомнил руководитель аналитического центра компании Zecurion Владимир Ульянов. После этого пользователю «остается лишь надеяться, что данные будут защищены должным образом и не будут скомпрометированы».

Авторы
Теги