Эксперты оценили объём утечки данных сервисов доставки еды
По данным DLBI, только с февраля в Сеть могли утечь данные 8 млн клиентов различных доставок еды без учёта Delivery Club. До этого в интернете попались данные пользователей сервисов «Яндекс.Еда» (более 6,8 млн человек), «Два берега» (780 000 человек) и hgclub.ru (106 000 человек). Ещё около десяти утечек пришлись на региональные сервисы с небольшим количеством клиентов.
20 мая в Cети появилась база заказов Delivery Club с персональными данными пользователей, включая Ф.И.О., адреса и информацию о заказах. По словам основателя DLBI Ашота Оганесяна, в выложенном образце около 1 млн строк, содержащих имя, номер телефона (более 827 700 уникальных номеров), адрес доставки, адрес электронной почты (более 183 800 уникальных), состав заказа и стоимость, IP-адрес (более 507 600 уникальных). В базу попали заказы с 24 мая 2020 года по 4 июля 2021 года.
«Каков реальный объём клиентских данных во всей базе, сказать сложно, так как экстраполяция доли уникальных пользователей в пробнике даёт 50 млн клиентов, что вряд ли возможно. Однако можно говорить, что если реальный объём утечки соответствует заявленным 250 млн строк, то в руки злоумышленников попала большая часть или вся база заказов Delivery Club, и это крупнейшая утечка из российских служб доставки на данный момент», — заявил Оганесян.
По словам главы AVG Legal Алексея Гавришева, операторы персональных данных из-за утечек портят свою репутацию. Кроме того, им положены штрафы до 100 000 рублей за утечки. Также бизнесу могут грозить иски от клиентов, чьи личные данные попали в руки третьих лиц.
Оганесян предположил, что рост числа утечек может быть связан с падением продаж и резким сокращением сотрудников, а также с разрушением IT-инфраструктуры малого бизнеса, для поддержки которой активно использовались западные сервисы, ставшие недоступными.
По мнению эксперта по кибербезопасности «Лаборатории Касперского» Дмитрия Галова, появившиеся в интернете базы данных не обязательно новые: они могут быть скомпилированы из других баз или вообще не содержать чувствительной информации. Всплеск утечек он объяснил ростом числа сервисов доставки еды на фоне пандемии. Многие из них были созданы небольшими фирмами, у которых не хватает ресурсов на безопасность при сборе и хранении данных, заявил он.
Руководитель направлений комплаенса и аудита управления информационной безопасности Softline Илья Тихонов заявил, что сервисы доставки еды собирают больше всего данных (Ф.И.О., телефон, адрес электронной почты, адрес проживания, иногда платёжные данные) и чаще других допускают утечки. Это связано с тем, что такие сервисы не относятся к критической инфраструктуре, финансовой или медицинской сфере, и закон не обязывает их защищать сведения сильнее, чем в других отраслях.
1 марта из-за недобросовестного сотрудника в интернет попали личные данные клиентов «Яндекс.Еды». В Сети появилась карта с расположением клиентов сервиса, их именами, номерами телефонов, точными адресами и суммами, которые они потратили за полгода в сервисе. Мировой суд в Москве оштрафовал сервис за утечку на 60 000 рублей. 33 пользователя «Яндекс.Еды» обратились в суд, требуя каждый по 100 000 рублей.
18 мая на карту с утечками добавили данные из ГИБДД, СДЭК, Avito, Wildberries, «Билайна», ВТБ и других источников и списки публичных персон.
Фото: Pixabay, Pixabay License