Кто-то опубликовал карту с данными клиентов «Яндекс-еды» и других сервисов

Вечером 22 марта по телеграм-каналам разошлась ссылка на сайт, где собрана утекшая информация о пользователях сервиса доставки «Яндекс-еда».

Данные визуализированы в виде карты и включают имя пользователя, адрес доставки, электронную почту, номер телефона и сумму заказов примерно за последние полгода. На главной странице сайта есть поиск по номеру телефона или фамилии, попавшим в базу. Несколько сотрудников Т⁠—⁠Ж нашли там свои данные — в том числе адрес и номер телефона.

На сайте собраны данные пользователей, об утечке которых сам Яндекс оповещал 1 марта: в интернет попали имена, номера телефонов, адреса и техническая информация об их заказах. В утечку не попали логины и пароли, а также данные банковских карт пользователей.

В компании объяснили, что инцидент произошел из-за недобросовестных действий одного из сотрудников. Клиенты, которых коснулась утечка, получили предупреждающие письма.

Новых утечек не было, сообщил 22 марта представитель «Яндекс-еды» изданию vc.ru. Компания вместе с правоохранительными органами делает все возможное, чтобы минимизировать распространение данных.

На момент публикации этой заметки сайт с утекшей информацией пользователей продолжает работать, но нестабильно: карта грузится с задержкой. Роскомнадзор уже внес сайт в реестр заблокированных.

Не стоит вводить свой номер телефона или своих близких в поиск по сайту. Так авторы карты могут подтвердить актуальность собранной информации, а кто они и какие у них намерения — неизвестно. По данным сервиса Whois, домен создан и занят только 14 марта 2022 года. Мы не даем ссылку на этот сайт, потому что не знаем, насколько он безопасен.

Относительно безопасный способ — открыть карту и найти адреса, на которые вы часто заказываете доставку: дом, офис, квартира родителей. Если ваши данные попали в базу, вы увидите их на карте — возможно, придется подождать, подгружаются они не сразу.

На сайте также написано, что якобы можно позвонить по указанному номеру и попросить удалить свои данные из базы, но номер меняется при каждом обновлении страницы. В любом случае пробовать звонить не стоит.

Пока сайт продолжает работать, убрать оттуда личные данные, скорее всего, невозможно. Авторы сайта не оставили никаких реальных способов связаться с ними, а в случае, если они все же появятся, нет оснований полагать, что они безопасны.

Приготовьтесь к мошенникам. Если ваши данные попали в утечку, вам могут начать чаще звонить и писать мошенники. Будьте к этому готовы: постарайтесь критично относиться ко всему, что вам будут говорить незнакомые люди, не принимайте решения в спешке и в одиночку.

Например, если звонят якобы из «службы безопасности» банка или «отдела по работе с клиентами» какого-нибудь сервиса и просят личные данные или номер карты, такой разговор лучше прекратить и самому связаться с компанией.

Основные рекомендации о том, как снизить риски быть обманутым, вы можете найти в нашем курсе «Как защититься от мошенников». И вот еще несколько материалов, которые помогут понять, как работают мошенники:

1. 5 фраз, которые помогут защититься от мошенников.
2. Популярные схемы разводов.
3. 9 признаков, что вам звонит мошенник.

По максимуму сократите количество своих данных в других сервисах. Не исключено, что «Яндекс-еда» — не последний сервис, который могут взломать. Если опасаетесь, уберите второстепенную информацию о себе в сервисах доставки: курьера можно принять и без конкретного номера квартиры, ограничившись данными о подъезде или этаже.

Проверьте все сервисы, где указаны слитая почта или номер телефона. Можно включить дополнительную защиту, например двухфакторную аутентификацию или контрольный вопрос. Или усложнить пароль.

Поменяйте пароль в аккаунте Яндекса. Хотя компания сообщила, что логины и пароли в безопасности, такая мера защиты не будет лишней, причем при любой утечке.

Попробуйте подать жалобу в Роскомнадзор. Это можно сделать здесь. Выберите тематику «Обработка персональных данных», прикрепите скриншот утечки. Сайт уже заблокирован, но у некоторых провайдеров он все еще открывается — подать заявку лишним явно не будет.

24 марта руководитель «Яндекс-еды» Роман Маресов в блоге компании извинился перед пользователями за утечку и подробно рассказал, что команда делает сейчас и как усилит безопасность персональных данных.

Компания пытается предотвратить дальнейшее распространение личных данных: добивается блокировки сайтов, которые публикуют базу, просит регистраторов разделигировать домены, а облачные хранилища — удалить файлы с информацией.

В будущем «Яндекс-еду» планируют подключить к инструменту управления данными: пользователи смогут смотреть, какая информация накопилась у сервиса, и при желании удалить ее навсегда.