Сервис «Яндекса.Еда» сообщил своим клиентам о завладении злоумышленниками некоторыми собранными данными, не самыми важными (логины и пароли не украли), но персональными. Потенциально подобные риски существуют у многих ретейлеров, которые в работе используют бонусные карты или карты лояльности. Таких сейчас большинство. Чего бояться в такой ситуации, и как защититься?
«Где обедал воробей?» - об этом миллионы детишек узнали когда-то из стихотворения Самуила Маршака. Все проследили, как пернатый перемещался от клетки льва к носорогам, к слону и прочим зверям, как пробовал морковку, пшено и отруби. Кто мог знать, что подобные подробности лет через 80 будут записываться о миллионах пообедавших. Значит, кому-то могут быть интересны такие сведения, кто-то их анализирует, изучает спрос, ведёт работу по улучшению сервиса. А если произойдёт утечка, насколько это будет опасно? Кто гарантирует надёжность защиты?
Человеческий фактор
Впрочем, в случае с «Яндекс.Едой» компания утверждает, что её подвела не защита (в смысле программы или технологии), а пресловутый «человеческий фактор». То есть сведения оказались в открытом доступе в интернете в результате недобросовестных действий одного из сотрудников. В интернет-сети были опубликованы телефоны клиентов и информация об их заказах: адрес доставки, состав, время и так далее.
Можно было бы сказать, что подобная информация особой ценности в себе не несёт, и, находясь в свободном доступе, никому опасности не сулит. Кто-то лишь удовлетворит своё праздное любопытство. Как написано в одном из комментариев: «Можно посмотреть данные своих соседей, на какую сумму они заказывали в этом сервисе за последние 6 месяцев. Например, очень неожиданно было узнать, что один сосед умудрился заказать себе еды на 70 000 рублей, узнал его почту и номер телефона, даже этаж и квартиру».
Конечно, могут быть и исключения, поскольку существуют люди, бытом и локацией которых интересоваться не положено. Впрочем, это забота определённых компетентных органов. Стоит лишь помнить, что незаконными являются не только «слив» данных, но и их использование. Поэтому, думается, в такой ситуации пользователям Интернета лучше сохранять хладнокровие, невозмутимость и незаинтересованность. А клиентам «Яндекс.Еды» следует учесть, что мошенники, используя в общении с потенциальной жертвой информацию, в конфиденциальности которой человек уверен, могут заполучить доверие, чтобы использовать его в преступных целях.
Так или иначе, команда сервиса «Яндекс.Еда» уже на следующий день после утечки данных начала рассылать сообщения клиентам об этом неприятном факте. Руководитель «Яндекс.Еды» Роман Маресов принёс клиентам извинения по этому поводу и сообщил о планируемом трехкратном сокращении числа лиц, имеющих в компании доступ к персональным данным заказчиков. Топ-менеджер заверил, что расследование утечки продолжается, «Яндекс» проводит внутренние проверки и одновременно сотрудничает с правоохранителями и регуляторами.
Подножка IT-гиганту
Маресов анонсировал скорое подключение «Яндекс.Еды» к инструменту для управления данными пользователей через настройки профиля «Яндекса», тогда, при желании, любой сможет удалить данные о своих заказах.
Роскомнадзором уже составлен административный протокол в отношении ООО «Яндекс.Еда». За нарушение законодательства РФ в области хранения персональных данных, согласно ч. 1 ст. 13.11 КоАП РФ, компании грозит штраф в размере от 60 тысяч до 100 тысяч рублей. При этом есть мнение, что установленный размер штрафа несерьёзен для крупных компаний, и законодательство нужно ужесточить, например, до нескольких процентов от годового оборота компании.
Пережившие наводнение жители Оренбургской области рассказали о компенсациях за затопленное жилье и о том, куда они потратили эти деньги. Кто-то озаботился временным пристанищем и купил палатку, у кого-то все средства уходят на еду и мусорные пакеты.
Интересно, что в данной ситуации пострадали некоторые «расторопные» сайты, поспешившие скопировать и разместить на своём ресурсе украденные данные. Роскомнадзор ограничил доступ не только к сайту, на котором разместили «слитые» данные злоумышленники, но и к другим сайтам, где такие данные дублировались полностью или частично.
В какой-то мере произошедшее можно считать прямой диверсией против команды «Яндекса» в целом. Ведь это не только крупнейший российский поисковик, но и команда разработчиков, создающая продукты, востребованные на глобальных рынках. В штате компании более почти 12 000 человек, годовые обороты составляют сотни миллиардов, а чистая прибыль – десятки миллиардов рублей. Поэтому кому-то очень захотелось заполучить персональные данные хоть с какого-то сервиса «Яндекса», важен был сам факт утечки, а не ценность информации. Жаль, что сотрудник, решивший на этом разжиться, видимо, не понимал сути «слива». Хотя – следствие покажет.
К таким мыслям подталкивает и то, что именно «Яндекс» активно принялась обсуждать общественность и пресса, хотя была утечка и у какой-то небольшой сети суши-баров в Питере, и у службы доставки посылок и отправлений СДЭК. Но это прошло почти незаметно. Причём, объём утечки у СДЭК был намного больше – 32 Гб против 11 Гб у «Яндекс.Еды» (в сжатом виде). Однако о штрафах СДЭКу информации нет.
Среди прочего пользователи сети обсуждают ставшие доступными благодаря утечкам «Яндекс.Еды» сведения о доставках заказов некоторым известным медийным личностям, отдельным бизнесменам и сотрудникам (в том числе топ-менеджерам) крупных банков и госкорпораций. Всё-таки, выходит, информация о том, кто и что ест, людям небезразлична. Неизвестно, смогут ли воспользоваться такими данными мошенники, но уж обыватели кое-кого в частных беседах будут обсуждать от души.
