Вечером 22 марта по телеграм-каналам разошлась ссылка на сайт, где собрана утекшая информация о пользователях сервиса доставки «Яндекс-еда».

Обновление от 18 мая

Создатели карты запустили новую версию сайта, в которую добавили данные из ГИБДД, «Авито», «Деливери-клаб», ВТБ, «Вайлдберриз», «Вконтакте», «Пикабу» и других источников. Теперь на сайте содержится информация об именах, адресах, телефонах, номерах автомобилей, паспортах, продажах и покупках пользователей. Также неизвестные добавили два раздела с информацией о публичных личностях.

Будьте осторожны: отвечая на звонки с незнакомых номеров, постарайтесь критично относиться ко всему, что вам будут говорить. А если переживаете за конфиденциальность, сократите количество своих данных в других сервисах.

Данные визуализированы в виде карты и включают имя пользователя, адрес доставки, электронную почту, номер телефона и сумму заказов примерно за последние полгода. На главной странице сайта есть поиск по номеру телефона или фамилии, попавшим в базу. Несколько сотрудников Тинькофф Журнала нашли там свои данные — в том числе адрес и номер телефона.

Всего карта содержит данные по более чем 58 000 адресов
Всего карта содержит данные по более чем 58 000 адресов

Откуда эти данные

На сайте собраны данные пользователей, об утечке которых сам Яндекс оповещал 1 марта: в интернет попали имена, номера телефонов, адреса и техническая информация об их заказах. В утечку не попали логины и пароли, а также данные банковских карт пользователей.

В компании объяснили, что инцидент произошел из-за недобросовестных действий одного из сотрудников. Клиенты, которых коснулась утечка, получили предупреждающие письма.

Новых утечек не было, сообщил 22 марта представитель «Яндекс-еды» изданию vc.ru. Компания вместе с правоохранительными органами делает все возможное, чтобы минимизировать распространение данных.

Как проверить, есть ли в базе вы

На момент публикации этой заметки сайт с утекшей информацией пользователей продолжает работать, но нестабильно: карта грузится с задержкой. Роскомнадзор уже внес сайт в реестр заблокированных.

Не стоит вводить свой номер телефона или своих близких в поиск по сайту. Так авторы карты могут подтвердить актуальность собранной информации, а кто они и какие у них намерения — неизвестно. По данным сервиса Whois, домен создан и занят только 14 марта 2022 года. Мы не даем ссылку на этот сайт, потому что не знаем, насколько он безопасен.

Относительно безопасный способ — открыть карту и найти адреса, на которые вы часто заказываете доставку: дом, офис, квартира родителей. Если ваши данные попали в базу, вы увидите их на карте — возможно, придется подождать, подгружаются они не сразу.

На сайте также написано, что якобы можно позвонить по указанному номеру и попросить удалить свои данные из базы, но номер меняется при каждом обновлении страницы. В любом случае пробовать звонить не стоит.

Что делать, если нашли себя в базе

Пока сайт продолжает работать, убрать оттуда личные данные, скорее всего, невозможно. Авторы сайта не оставили никаких реальных способов связаться с ними, а в случае, если они все же появятся, нет оснований полагать, что они безопасны.

Приготовьтесь к мошенникам. Если ваши данные попали в утечку, вам могут начать чаще звонить и писать мошенники. Будьте к этому готовы: постарайтесь критично относиться ко всему, что вам будут говорить незнакомые люди, не принимайте решения в спешке и в одиночку.

Например, если звонят якобы из «службы безопасности» банка или «отдела по работе с клиентами» какого-нибудь сервиса и просят личные данные или номер карты, такой разговор лучше прекратить и самому связаться с компанией.

Основные рекомендации о том, как снизить риски быть обманутым, вы можете найти в нашем курсе «Как защититься от мошенников». И вот еще несколько материалов, которые помогут понять, как работают мошенники:

  1. 5 фраз, которые помогут защититься от мошенников.
  2. Популярные схемы разводов.
  3. 9 признаков, что вам звонит мошенник.

По максимуму сократите количество своих данных в других сервисах. Не исключено, что «Яндекс-еда» — не последний сервис, который могут взломать. Если опасаетесь, уберите второстепенную информацию о себе в сервисах доставки: курьера можно принять и без конкретного номера квартиры, ограничившись данными о подъезде или этаже.

Проверьте все сервисы, где указаны слитая почта или номер телефона. Можно включить дополнительную защиту, например двухфакторную аутентификацию или контрольный вопрос. Или усложнить пароль.

Поменяйте пароль в аккаунте Яндекса. Хотя компания сообщила, что логины и пароли в безопасности, такая мера защиты не будет лишней, причем при любой утечке.

Попробуйте подать жалобу в Роскомнадзор. Это можно сделать здесь. Выберите тематику «Обработка персональных данных», прикрепите скриншот утечки. Сайт уже заблокирован, но у некоторых провайдеров он все еще открывается — подать заявку лишним явно не будет.

Какие меры принял Яндекс

24 марта руководитель «Яндекс-еды» Роман Маресов в блоге компании извинился перед пользователями за утечку и подробно рассказал, что команда делает сейчас и как усилит безопасность персональных данных.

Компания пытается предотвратить дальнейшее распространение личных данных: добивается блокировки сайтов, которые публикуют базу, просит регистраторов разделигировать домены, а облачные хранилища — удалить файлы с информацией.

В будущем «Яндекс-еду» планируют подключить к инструменту управления данными: пользователи смогут смотреть, какая информация накопилась у сервиса, и при желании удалить ее навсегда.

Новости, которые касаются всех, — в нашем телеграм-канале. Подписывайтесь, чтобы быть в курсе происходящего: @tinkoffjournal.