Роман Маресов,
руководитель Яндекс Еды
В конце февраля служба безопасности Яндекс Еды выявила утечку данных. Мы сразу же предупредили пользователей и приняли меры, но было поздно — злоумышленники начали распространять похищенную информацию в интернете.
Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом. В последние два дня мне самому пришло много вопросов от родственников и друзей. Я пишу этот текст, чтобы рассказать всем, что произошло, что мы делаем сейчас и что планируем делать дальше.
Об утечке мы узнали 28 февраля. Утёкшая информация — массив из нескольких миллионов строк, в которых содержались сведения о заказах из Яндекс Еды. Это адреса, номера телефонов, имена — в том виде, в каком они указаны в сервисе, — а также даты, время и стоимость заказов. Утечки логинов, паролей и данных банковских карт не было, эта информация в безопасности.
Мы решили, что первым делом необходимо предупредить пользователей. На следующий день, 1 марта, команда Еды начала рассылать письма тем, чьи данные оказались скомпрометированы.
22 марта злоумышленники запустили сайт с визуализацией — они привязали данные пользователей Еды к интерактивной карте. При этом на сайте можно найти сведения, которых не было в массиве: например, ФИО и адреса электронной почты. Это означает, что создатели сайта скомпоновали данные Еды с данными, утёкшими из других компаний.
Когда утечка произошла и данные обнародованы, всё, что тебе остаётся, — пытаться не дать им распространиться дальше. Это ровно то, что делает Яндекс Еда. Мы добиваемся блокировки сайтов и каналов, которые публикуют данные. Мы связываемся с регистраторами и облачными хранилищами — чтобы разделегировать домены и удалить файлы с информацией о заказах. К 23 марта большинство провайдеров уже заблокировали ресурсы, которые распространяли утёкшую информацию, — они недоступны на территории РФ.
Февральская утечка — беспрецедентный случай для Яндекса, который считает сохранность данных пользователей высшим приоритетом. Мы извлекли из этого много уроков, хотя и предпочли бы получить их менее суровым путём.
За прошедшие недели команда Еды свела к минимуму количество сотрудников, которые имеют доступ к приватным данным. Мы уже переносим эти данные в более защищённое хранилище и будем тщательно следить за тем, чтобы они не покидали безопасный контур. Мы закрыли систему, через которую был получен доступ к данным, провели полный аудит безопасности и изменили график регулярных проверок — теперь они будут проводиться чаще. Да, эти меры следовало принять раньше, но, к сожалению, машину времени ещё не придумали.
В скором времени мы подключим Еду к инструменту для управления данными, который Яндекс запустил в прошлом году. С его помощью можно посмотреть, какие данные о вас накопили разные сервисы, и при желании удалить их раз и навсегда.
Расследование утечки всё ещё продолжается. Яндекс проводит внутренние проверки и сотрудничает с регуляторами и правоохранительными органами. Если вас затронула утечка и у вас есть вопросы, напишите нам на горячую линию helpme@eda.yandex.ru.