Перейти к основному контенту
Технологии и медиа ,  
0 
Эксклюзив

Эксперты оценили объем попавших в Сеть данных клиентов доставки еды

Эксперты DLBI назвали число пострадавших от утечек данных клиентов сервисов доставки еды
По данным DLBI, только с февраля в Сеть могли утечь данные 8 млн клиентов различных сервисов доставки еды. Оценка не учитывает последний случай, произошедший с Delivery Club, который может побить предыдущие рекорды на этом рынке
Фото: Андрей Любимов / РБК
Фото: Андрей Любимов / РБК

С начала февраля по середину мая в открытый доступ попали данные более чем 8 млн пользователей сервисов доставки еды. Такую оценку РБК назвал представитель сервиса DLBI, который занимается изучением утечек данных и мониторингом даркнета.

Крупнейшие утечки данных были зафиксированы у сервисов «Яндекс.Еда» (более 6,8 млн пользователей) и «Два берега» (780 тыс. пользователей). На третьем месте в списке выявленных DLBI утечек — сайт hgclub.ru, принадлежащий оператору популярных ресторанных сетей «Росинтер Ресторантс Холдинг». Предположительно 2 мая в Сеть попали данные 106 тыс. пользователей. Остальные утечки пришлись на региональные сервисы с небольшим количество клиентов, однако подобных утечек было больше десяти.

1 марта сервис «Яндекс.Еда» сообщил об утечке номеров телефонов клиентов и информации об их заказах. Компания объяснила это недобросовестными действиями одного из сотрудников. В связи с этим сервис решил отказаться от ручной обработки информации, связанной с заказами, и уменьшить число сотрудников, которые имеют доступ к персональным данным.

Delivery Club сообщила об утечке данных о заказах пользователей
Технологии и медиа
Фото:Андрей Любимов / РБК

В конце марта в соцсетях начала распространяться ссылка на сайт, на котором были личные данные пользователей «Яндекс.Еды» в виде карты, там были указаны адрес доставки, телефон, электронная почта, сумма заказов за последние полгода. В середине апреля в Замоскворецкий суд Москвы из-за этой утечки поступил коллективный иск от пользователей «Яндекс.Еды». Они требуют компенсацию морального вреда в размере 100 тыс. руб. на каждого и чтобы «Яндекс» в течение месяца с момента вступления решения суда в силу разместил информацию о принятых мерах по обеспечению сохранности персональных данных.

В пятницу, 20 мая, об утечке данных клиентов также сообщил крупнейший сервис доставки еды в России Delivery Club. Число пострадавших пользователей в компании не назвали, лишь сообщили, что утекла информация о заказах без банковских реквизитов.

По информации Telegram-канала In4security, утекшая база заказов Delivery Club содержит 250 млн строк с персональными данными пользователей, включая Ф.И.О., адреса и информацию о заказах. Однако основатель DLBI Ашот Оганесян настаивает, что в выложенном образце около 1 млн строк, содержащих имя, номер телефона (более 827,7 тыс. уникальных номеров), адрес доставки, адрес электронной почты (более 183,8 уникальных), состав заказа и стоимость, IP-адрес (более 507,6 уникальных). Из дат и времени следует, что речь идет о заказах с 24 мая 2020-го по 4 июля 2021 года. «Каков реальный объем клиентских данных во всей базе, сказать сложно, так как экстраполяция доли уникальных пользователей в пробнике дает 50 млн клиентов, что вряд ли возможно. Однако можно говорить, что если реальный объем утечки соответствует заявленным 250 млн строк, то в руки злоумышленников попала большая часть или вся база заказов Delivery Club, и это — крупнейшая утечка из российских служб доставки на данный момент», — рассуждает Оганесян.

Клиенты «Яндекс.Еды» подали коллективный иск из-за утечки данных
Общество
Фото:Владислав Шатило / РБК

По словам главы AVG Legal Алексея Гавришева, компании — операторы персональных данных несут прежде всего репутационные риски при утечке данных своих пользователей. Согласно ст. 13.11 Административного кодекса, за нарушение законодательства в области персональных данных для юрлиц предусмотрен штраф в размере до 100 тыс. руб. Кроме того, клиенты, чьи персональные данные стали достоянием третьих лиц, могут предъявить компании гражданские иски, и они могут рассчитывать на удовлетворение своих требований, если докажут в суде наличие причинно-следственной связи между утечкой их персональных данных и наступления для них негативных последствий.

Почему растет число утечек

По словам Ашота Оганесяна, рост числа утечек данных пользователей может быть связан, с одной стороны, с падением продаж в сервисах доставки еды и следующим за ним сокращением издержек, как это ранее было с микрофинансовыми организациями, базы которых массово утекали после резкого сокращения этого рынка в 2018–2019 годах. С другой стороны, по его мнению, играет роль разрушение ИТ-инфраструктуры малого бизнеса, для поддержки которой активно использовались западные сервисы, часть которых сейчас оказались недоступными.

Другие эксперты по кибербезопасности затруднились оценить количество утечек в сегменте доставки еды. По словам эксперта по кибербезопасности «Лаборатории Касперского» Дмитрия Галова, если на специализированном форуме появилась информация о продаже базы данных, она не обязательно новая. «Она может быть скомпилированной из других баз или вообще не содержать никакой информации. И даже если базы действительно утекли, информация о пользователях может пересекаться», — рассуждает он. Возможный рост случаев утечек, по его мнению, может быть связан с ростом числа сервисов доставки еды на фоне пандемии, а также с тем, что созданием подобных компаний часто занимаются небольшие организации, у которых не всегда хватает ресурсов на поддержание высокого уровня безопасности при сборе и хранении данных.

Компании объяснили парсингом новые данные на карте с утечкой «Яндекс.Еды»
Технологии и медиа
Фото:Владислав Шатило / РБК

Руководитель направлений комплаенса и аудита управления информационной безопасности Softline Илья Тихонов отметил, что в компании наблюдают регулярные утечки в отрасли доставки еды, потому что такие сервисы собирают больше всего данных. Такие сервисы не относятся к категории критической инфраструктуры, финансовой или медицинской деятельности, и закон не обязывает их защищать сведения сильнее, чем в других отраслях. При этом базы данных сервисов доставки намного больше и имеют разветвленную структуру: внутри много пользователей, отделений, пунктов выдачи и т.д., то есть доступ к ним есть у многих лиц. «Подобные ресурсы привлекают злоумышленников тем, что объем персональных данных, которые оставляют их пользователи, достаточно велик (Ф.И.О., телефон, адрес электронной почты, адрес проживания, иногда платежные данные), — отметил представитель Softline. — Такая совокупность сведений имеет немалую ценность и может быть использована в самых разных противоправных сценариях».

Обычным людям предотвратить утечку крайне сложно — чтобы доставили заказ, придется оставить актуальный телефон и адрес в любом случае, напомнил руководитель аналитического центра компании Zecurion Владимир Ульянов. После этого пользователю «остается лишь надеяться, что данные будут защищены должным образом и не будут скомпрометированы».

Готовые квартиры в новых кварталах

В разных районах Москвы и области

Квартиры в столице с выгодой до ₽4,5 млн

Выгодные предложения для семей с детьми

Видовые квартиры в высотных башнях

Варианты с мебелью и встроенной техникой

Авторы
Теги
Прямой эфир
Ошибка воспроизведения видео. Пожалуйста, обновите ваш браузер.


 

Лента новостей
Курс евро на 21 ноября
EUR ЦБ: 105,81 (+0,08)
Инвестиции, 20 ноя, 17:41
Курс доллара на 21 ноября
USD ЦБ: 100,22 (+0,18)
Инвестиции, 20 ноя, 17:41
Тренер сборной заявил, что биатлонистам в Европе тоже не хватает патроновСпорт, 10:43
МИД заявил, что «благотворительности» для Австрии не будетПолитика, 10:41
Что станет с клиентами «Открытия» после слияния с ВТБРБК, ВТБ и Открытие, 10:40
Китай ответил на заявление Пентагона об условии обмена ядерными ударамиПолитика, 10:38
В Хабаровском крае тигр напал на человекаОбщество, 10:37
Песков не исключил новую поездку Путина в ДонбассПолитика, 10:33
В Китае сложилась необычная система продвижения товаров. Как она устроенаPro, 10:33
Онлайн-курс Digital MBA от РБК Pro
Объединили экспертизу профессоров MBA из Гарварда, MIT, INSEAD и опыт передовых ИТ-компаний
Оставить заявку
В Днепре сообщили о повреждении промышленного предприятия из-за удараПолитика, 10:29
Бойцы «Ахмата» показали новый украинский дрон «Булава»Политика, 10:17
Корпорации уже установили тотальный контроль над нами. Дальше будет хужеPro, 10:13
Генеративный BI в «Навигаторе»: искусственный интеллект для бизнесаРБК и СберАналитика, 10:12
КГБ Белоруссии ввел режим контртеррористической операции в ГродноПолитика, 10:08
Меркель в мемуарах оценила отношение Трампа к ПутинуПолитика, 10:05
Минюст потребовал запретить объединение «Родина»Политика, 09:51