«Яндекс.Еда» и Delivery Club не выявили новых утечек данных

Сервисы доставки «Яндекс.Еда» и Delivery Club сообщили, что появившаяся в открытом доступе база персональных данных курьеров относится к ранее выявленным утечкам, а новых потерь данных не выявлено.

Ранее, 30 мая 2022 года, телегам-канал основателя и технического директора компании по кибербезопасности DeviceLock DLP Ашота Оганесяна сообщил, что в сети появилась информация о выложенных в открытый доступ файлах с персональными данными курьеров служб «Яндекс.Еда» и Delivery Club.

«Речь идёт именно про утечку данных курьеров, данные клиентов этих сервисов были “слиты” ранее», — уточняет телегам-канал.

В частности сообщалось, что в файле содержится более 1,2 млн строк с именами, телефонами, хешированными паролями, адресами электронной почты и другими данными.

«Две недели назад служба безопасности Delivery Club обнаружила утечку данных, — цитирует агентство «Интерфакс» пресс-службу Delivery Club. — Опубликованные данные курьеров — часть этого инцидента».

По их сообщению, внутреннее расследование показало, что причиной утечки стало внешнее воздействие. «Служба безопасности совместно с регулятором продолжает расследование инцидента и реализует комплекс мер по повышению защищённости внутренних систем», — заявили в компании.

Сервис «Яндекс.Еда» сообщил, что новых инцидентов не зафиксировано. «Речь идёт о той же утечке, о которой мы сообщили 1 марта, — завили в компании. — Наша служба безопасности изучила фрагмент опубликованной базы и подтвердила, что данные о партнёрах, которые доставляют заказы, оказалась в руках злоумышленников одновременно с данными о заказах».

«Новых инцидентов мы не фиксировали», — сообщили в компании, отметив, что с момента обнаружения утечки все системы сервиса прошли многоуровневый аудит безопасности, ужесточены политики хранения данных, ограничено число сотрудников, которые имеют доступ к чувствительной информации.

«Злоумышленники не смогут получить доступ к аккаунтам курьеров, хэши паролей из утечки относятся к деактивированному приложению, которое давно не используется», — рассказали в компании, заверив, что предпринимается всё возможное для предотвращения распространения данных.

Напомним, что 1 марта 2022 года сервис «Яндекс.Еда» сообщил, что его служба безопасности выявила утечку данных пользователей с телефонными номерами и информацией о заказах, которые были опубликованы «в результате недобросовестных действий одного из сотрудников».

При этом компании подчеркнула, что банковские и платёжные данные клиентов, а также логины и пароли не попали в руки злоумышленников.

Роскомнадзор составил административный протокол в отношении ООО «Яндекс.Еда», а 21 апреля мировой суд оштрафовал компанию за утечку персональных данных пользователей на 60 тыс. рублей.

Затем 20 мая появилась информация об утечке базы данных клиентов службы доставки Delivery Club, состоящей из 250 млн строк. Компания утечку подтвердила, принесла извинения и пообещала усилить защиту данных. Роскомнадзор в свою очередь запросил компанию о деталях происшествия.