23 марта 2022, 21:35
Взлом с доставкой на дом. Данные клиентов «Яндекс.Еды» можно было обезопасить — и вот как
Как защитить себя после утечки базы данных клиентов «Яндекс.Еды»
:format(webp)/aW1hZ2VzL2FydGljbGVzL2NvdmVyLzU3NzdmMTlmLWJhMWMtNGNjOS05YzNjLTdjYjQ1YjNmMDI2Zi95YW5kZWtzX2VkYS5qcGc.webp)
В Сети появился сайт со слитыми данными клиентов «Яндекс.Еды». Пользователям предлагали найти на ресурсе информацию о себе и якобы запросить ее удаление. Специалисты по кибербезопасности уверены, что создатели сайта пытались таким образом актуализировать утекшую базу данных. Они посоветовали обновить пароли от почтовых ящиков и не доверять защиту данных непроверенным ресурсам.
В Сети появилась карта с данными клиентов «Яндекс.Еды». Несколько Telegram-каналов сообщили о якобы новой утечке данных пользователей сервиса. На сайте можно было посмотреть номера телефонов, имена, электронные адреса, на которые зарегистрированы аккаунты в «Яндекс.Еде», и общую сумму заказов за последние шесть месяцев, написало «РИА Новости». Создатели предлагали позвонить по указанному номеру и удалить слитые данные, но после каждого обновления страницы номер менялся.
Реклама
Сервис заявил, что никаких новых утечек данных не было. Сайт был основан на сливе, о котором «Яндекс.Еда» рассказала еще 1 марта и уведомила клиентов по электронной почте. При этом банковские, платежные и регистрационные данные пользователей не попали в Сеть.
Компания заявила, что утечка произошла из-за недобросовестных действий одного из сотрудников. Сервис пообещал принять в отношении него установленные законом меры. «Яндекс.Еда» также сообщила о случившемся в правоохранительные органы и пообещала сделать все, чтобы предотвратить последствия утечки.
Большинство провайдеров в России начали блокировать ресурс, позднее его заблокировал Роскомнадзор по решению суда.
Угроза пользователям
Утекшие в Сеть персональные данные могут попасть в руки мошенников и навредить клиентам «Яндекс.Еды». Руководитель аналитического подразделения по информационной безопасности ООО «ТСС» Илья Шарапов рассказал «360», что слитой информации достаточно для того, чтобы мошенник мог притвориться другим человеком. Специалист отметил, что можно всего лишь знать номер телефона для того, чтобы получить доступ к банковскому аккаунту. Но пользователь может защитить себя даже после утечки.
«Если к аккаунту в приложении была привязана почта, то стоит поменять ее пароль. Придется также изменить пароль на других ресурсах, где используется эта почта», — рассказал Шарапов.
Подобные ресурсы, которые предлагают пользователям найти себя в слитой базе данных по номеру телефона или адресу электронной почты, не являются новым изобретением злоумышленников. Координатор Центра безопасного интернета, ведущий аналитик РОЦИТ Урван Парфентьев объяснил «360», что эти сайты на самом деле пытаются подтвердить актуальность утекших персональных данных и одновременно собирают информацию о человеке. То есть они работают как фишинговый ресурс. Специалист отметил, что пострадавшие клиенты «Яндекс.Еды» могут обратиться в правоохранительные органы.
Если выявили нарушение конфиденциальности данных, то следует обращаться в уполномоченное ведомство, то есть Роскомнадзор, либо в надзорное ведомство — прокуратуру. Можно обратиться в правоохранительные органы, если усматривается преступление
Урван Парфентьев.
Специалист посоветовал настороженно относиться к внезапным инициативам от якобы энтузиастов. Появившийся из ниоткуда ресурс, который предлагает защитить россиян, не должен вызывать доверия. Для защиты данных Парфентьев посоветовал обращаться к уполномоченным органам и коммерческим или некоммерческим организациям, которые давно зарекомендовали себя.
Ответственность компании
Парфентьев не исключил, что «Яндекс.Еда» недостаточно ответственно относилась к соблюдению законодательства о персональных данных. Он напомнил, что слитые базы содержат активность пользователей за последние шесть месяцев, а это может противоречить пятой статье федерального закона «О персональных данных», которая регулирует принципы обработки персональной информации.
«Не исключено, что по данному случаю нужна не только корпоративная, но и внешняя проверка со стороны надзорных ведомств на предмет несоблюдения законодательства о персональных данных. Если информация о прошлых заказах хранилась для того, чтобы накопить скидки, то сервис мог достигнуть этой цели другим способом — они могли создать отдельную базу данных без личной информации и присвоить каждому клиенту свой номер», — рассказал Парфентьев.
Роскомнадзор отреагировал на случившееся и составил протокол на «Яндекс.Еду» за нарушение закона в области персональных данных. Сервису может грозить штраф от 60 до 100 тысяч рублей, написал «Коммерсант».
По словам Парфентьева, крупные игроки должны понимать, насколько уязвимы персональные данные и то, каким образом их могут использовать злоумышленники. Но главное — им нужно осознавать уровень недоверия общества к обработке персональных данных.
Интернет
Мошенничество
Реклама
Реклама