«Мы подвели людей, которые пользовались нашим сервисом»: «Яндекс.Еда» извинилась за «беспрецедентную» утечку данных
И объяснила, как борется с ней сейчас и что будет делать потом.
Руководитель «Яндекс.Еды» Роман Маресов написал в блоге компании пост с объяснениями, как произошла утечка, что делает компания сейчас и что предпримет в будущем, чтобы такого не повторилось.
Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом.
Об утечке узнали 28 февраля, а 1 марта начали предупреждать о ней пользователей, чьи данные попали в открытый доступ. Утёкшая информация — адреса, номера телефонов, имена в том виде, в каком они указаны в сервисе, а также даты и время заказов.
По словам Маресова, на карте, которую опубликовали в сети 22 марта, можно найти и другие данные — например, ФИО и адреса электронной почты. В сервисе считают, что создатели сайта скомпоновали несколько баз разных компаний, которые оказались в открытом доступе.
Сейчас «Еда» пытается предотвратить распространение информации. Компания добивается блокировки сайтов, которые публикуют базу, а также связывается с регистраторами и облачными хранилищами — чтобы разделегировать домены и удалить файлы с информацией о заказах.
Февральская утечка — беспрецедентный случай для «Яндекса», который считает сохранность данных пользователей высшим приоритетом. Мы извлекли из этого много уроков, хотя и предпочли бы получить их менее суровым путём.
Компания уменьшила количество сотрудников, у которых есть доступ к приватным данным, а саму информацию переносит в более защищённое хранилище.
«Еда» рассказала, что закрыла систему, через которую получили доступ к информации, провела полный аудит безопасности и теперь будет чаще проводить проверки.
В будущем «Еду» подключат к инструменту, который позволяет пользователям удалять свои данные из сервисов компании. Восстановить их потом не получится.
Также компания сообщила, что продолжает расследование утечки.
- 1 марта «Яндекс Еда» сообщила об утечке данных пользователей. 22 марта в сети опубликовали карту с базой о клиентах сервиса, а 23 марта сайт в России заблокировал «Роскомнадзор».
- В компании объяснили, что новых утечек не было, для карты использовали данные от 1 марта. Также сервис делает всё, что можно, чтобы минимизировать распространение информации вместе с надзорными и правоохранительными органами.
- 23 марта «Сетевые свободы» и «Роскомсвобода» начали собирать коллективные иски против «Еды».