Судебное заседание по утечке персональных данных клиентов «Яндекс.Еды» состоится 21 апреля

25 марта 2022 года суд Москвы получил протокол от Роскомнадзора на сервис «Яндекс.Еда», зарегистрировал дело №05-0413/101/2022 об административном правонарушении, а также назначил дату заседания — 21 апреля.

Согласно описанию дела, ООО «Яндекс.Еда» нарушило законодательство в области персональных данных по ч. 1 ст. 13.11 КоАП РФ. Компании грозит административное наказание. Точную сумму штрафа (до 100 тысяч рублей) определит суд.

Первое заседание по этому делу состоится 21 апреля 2022 года в 10:30 мск по адресу: Москва, 1-й Хвостов переулок д. 11 стр. 2.

1 марта служба информационной безопасности «Яндекс.Еды» рассказала об обнаружении утечки данных. В пресс-релизе компании говорится, что она произошла из-за недобросовестных действий одного из сотрудников. Также компания обратилась в правоохранительные органы с заявлением о несанкционированном доступе к данным клиентов и делает все для того, чтобы предотвратить распространение опубликованной информации.

Согласно данным по этой утечке от сервиса поиска утечек и мониторинга даркнета «DLBI», информация «Яндекс.Еды» появилась в свободном доступе 27 февраля. Там был архив с тремя SQL-дампами, суммарно содержащими 49 441 507 (49,4 млн) строк с заказами, включая такие колонки и данные:

• имена и фамилии клиентов, как они записаны в профиле пользователя сервиса;
• номера телефонов — всего там 6 882 230 уникальных номеров из РФ (почти все регионы) и Казахстана и 206 725 из Беларуси;
• полный адрес доставки клиента;
• комментарии к заказу;
• выгрузка содержит даты заказов с 19.06.2021 по 04.02.2022.

22 марта 2022 года в СМИ и различных телеграм-каналах появилась ссылка на сайт с интерактивной картой, на которой нанесены, согласно адресам, данные клиентов из утечки сервиса «Яндекс.Еда». На карте можно найти такие данные клиентов: ФИО, телефон, адрес вплоть до квартиры, электронную почту, суммарную трату в «Еде» за полгода.

Яндекс пояснил, что это не новая утечка, а визуализация данных из утечки, произошедшей в конце февраля.

23 марта Роскомнадзор сообщил о составлении протокола в отношении ООО «Яндекс.Еда» за нарушение законодательства в области персональных данных.

В этот же день проект «Сетевые свободы» объявил о начале организации юридической помощи пострадавшим пользователям и организует коллективный иск против «Яндекс.Еды» после массовой утечки данных клиентов.

24 марта (спустя 26 дней после глобальной утечки данных) руководитель сервиса «Яндекс.Еда» Роман Маресов впервые пояснил ситуацию, прокомментировал инцидент и рассказал, что компания сделала не так и почему она так подвела пользователей.

Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом.
— руководитель сервиса «Яндекс.Еда» .

Кратко из пояснений Маресова:

• узнали об утечке из СМИ или просто слишком поздно;
• предупредили пользователей;
• приняли меры по распространению утечки, но было поздно;
• через 21 день опять стали принимать экстренные меры по блокировке сайтов с уже визуализацией утечки данных, вплоть до разделегирования доменов с утечкой;
• сократили количество сотрудников, которые имеют доступ к приватным данным пользователей; закрыли систему, через которую был получен доступ к данным;
• разрешат удалять все свои данные из Еды;
• про компенсацию пользователям ничего не сказали.