"Яндекс.Еда" оставила неприятное послевкусие

Утечка данных пользователей сервиса "Яндекс.Еда" затронула без малого 7 млн человек и стала одной из самых масштабных в России. Поэтому далеко не случайно, что отголоски данного инцидента продолжаются до сих пор.

О том, что данные о тех, кто пользовался услугами сервиса "Яндекс.Еда", обнаружены на одном из ресурсов в даркнете, сервис DLBI сообщил еще 27 февраля. Спустя сутки "Яндекс" признал факт утечки.

"В результате недобросовестных действий одного из сотрудников в интернете были опубликованы телефоны клиентов и информация об их заказах: состав, время доставки и т.д. Утечка не коснулась банковских, платёжных и регистрационных данных пользователей, то есть логинов и паролей. Эти данные в безопасности. Команда сервиса извиняется перед пользователями и отправит всем, кого коснулась утечка, письмо с подробностями", - так прокомментировала инцидент пресс-служба "Яндекса". При этом особо отмечалось, что платежные данные в ходе утечки не были затронуты. Сам инцидент же был связан с халатностью одного из сотрудников. Также в "Яндексе" заявили об ужесточении внутренних регламентов обработки личных данных и прочих чувствительных данных. Однако технические детали инцидента пресс-служба "Яндекса" не раскрыла.

По мнению эксперта Центра продуктов Dozor компании "Ростелеком-Солар" Алексея Кубарева, что "Яндекс" признал утечку, вызывает уважение, но этого недостаточно: "Помимо этого, было бы правильным, если бы компания предложила своим пострадавшим клиентам какую-то компенсацию - например, скидку на услуги или еще какие-то льготы. Это хорошая международная практика, которую нам стоит перенять".

Генеральный директор "БСС-Безопасность" Виктор Гулевич считает, что "Яндекс" действовал в соответствии с уже сложившейся в России практикой, которая показала эффективность при минимизации ущерба от такого рода инцидентов: "Ситуация с признанием утечки в целом довольно типичная. Вспомним ситуацию с "Фридом Финанс". Признание позволило "смягчить удар" по репутации компании и повысить лояльность клиентов путем грамотной коммуникации".

По данным телеграмм-канала "Утечки информации", в дарквебе было размещено содержимое трех SQL-дампов. В них находилось в общей сложности более 49 млн строк данных о заказах, сделанных жителями России, Белоруссии и Казахстана в период с 19 июня 2021 г. по 4 февраля 2022 г. Данные содержали телефон, адрес доставки и комментарий к заказу.

"Утечки через SQL-дампы - довольно распространенное явление. Причины подобных инцидентов могут варьироваться - это и ошибки в конфигурации серверов, на которых хранятся клиентские базы данных, и ошибки персонала, и злонамеренные действия внутренних сотрудников. В данном случае есть основания полагать, что имел место умышленный слив информации", - так прокомментировал инцидент Алексей Кубарев.

Виктор Гулевич также считает ситуацию с утечками через SQL-дампы частым явлением: "Большинство утечек успевают остаться на уровне "внутреннего инцидента", но часть из них все же становится достоянием общественности. Самым ярким примером является текущая история с "Яндекс.Едой".

Как полагает Виктор Гулевич, невозможно привести объективную статистику по частоте утечек в разрезе их причин и выделить один из способов, каким образом это произошло: "Ключевую роль всегда играли и играют два фактора - фактическая безопасность вашей ИТ-инфраструктуры и сотрудники. Разница лишь в том, что в первом случае вы можете обеспечить высокий уровень безопасности, с помощью средств защиты информации, постоянно отслеживать новые уязвимости и тем самым прогнозировать и минимизировать риски. Случай с сотрудниками вашей организации - гораздо более сложный. Более того, важно помнить, что человеческий фактор и уязвимости ИТ-инфраструктуры - взаимозависимые понятия: уязвимости могут привести к некорректным действиям сотрудников и наоборот - неверные действия людей в инфраструктуре могут спровоцировать уязвимости".

То, что происходит в последние дни, когда в СМИ и телеграм-каналах прошло сразу несколько публикаций, авторы канала "Утечки информации" назвали не иначе как "второй молодостью давно "протухшей" новости". Тем самым канал "Утечки информации" подтвердил факт, что новых утечек после 27 февраля "Яндекс.Еда" не допускала. Возможно, столь широкий резонанс вызвало появление сайта, на котором была визуализирована информация о тех, чьи данные содержались в "слитых" SQL-дампах. Блокировка данного ресурса Роскомнадзором даже привела к появлению слухов, попавших в некоторые СМИ, что закрыт доступ и к сайту "Яндекс.Еды".

Но тем не менее инцидент нанес "Яндекс.Еде" серьезный ущерб, прежде всего репутационный. Штраф от регулятора, размер которого не будет превышать 100 тыс. руб., для компании с таким оборотом не нанесет существенного ущерба. К примеру, на компанию "Орифлейм", которая допустила утечку данных 1,5 млн покупателей, в том числе их паспортных данных, в 2021 г., наложен штраф в 30 тыс. руб.

"Больший ущерб по результатам данной утечки возможен со стороны пользователей - иски или даже коллективный иск, - поскольку регулятор уже обозначил границы финансового наказания", - уверен Виктор Гулевич.

"Ущерб компании и пользователям уже нанесен, и, на мой взгляд, неправильно разделять его на какие-то вектора. При этом оба варианта воздействия могут оказать на сервис негативный эффект. Но в случае исков пользователей, в том числе коллективных, помимо материального взыскания, для сервиса "Яндекс.Еда" могут также возникнуть и серьезные репутационные риски. Впрочем, штраф от регулятора выглядит более реалистичным материальным последствием, чем судебные иски от пользователей просто потому, что у нас не сложилась практика судиться с компаниями по любому поводу, как это принято, например, в США", - поделился своим мнением Алексей Кубарев.

Основатель KIP Legal Tech, член Комитета ТПП РФ по предпринимательству в сфере медиакоммуникаций, старший партнер "Катков и партнеры" Павел Катков так охарактеризовал перспективы исков против "Яндекса": "В России нет понятия коллективного иска - в том значении, в котором он есть, например, в США. Тем не менее иски могут быть поданы в один суд одновременно с ходатайством об их объединении в одно производство. Правового значения количество исков не имеет - истец или прав, или не прав. Но суд будет более внимателен, если увидит, что дело приобрело широкий общественный резонанс. Вместе с тем у коллективной работы есть и большой недостаток: необходимость координации значительного количества людей существенно замедляет скорость".​