Данные российских автовладельцев «нанесли» на карту с утечки «Яндекс.Еды»

Пару месяцев назад в Сети появилась интерактивная карта, неустановленные авторы которой визуализировали таким образом утечку личных данных пользователей сервиса «Яндекс.Еда». На днях ресурс пополнился сразу несколькими новыми базами, в том числе — владельцев автомобилей.

Отметим сразу два момента: во-первых, в материале по соображениям информационной безопасности и этики не будет ссылок на описываемый ресурс, а во-вторых — все подозреваемые в пренебрежении кибербезопасностью организации категорически отрицают факты утечек. Кроме «Яндекс.Еды», этот сервис признал, что его система была скомпрометирована еще 1 марта.

В настоящий момент этот сайт с коллекцией персональных данных и его «зеркала» заблокированы российскими провайдерами, однако получить к ним доступ не составляет труда. На ресурсе можно как изучить карту с отметками, так и «пробить» конкретные телефонные номера либо фамилии. Предположительно, при работе сервиса используются сразу несколько баз данных, тем или иным способом полученных из «СДЭКа», «Яндекс.Еды», ГИБДД, Wildberries, «ВКонтакте» и ВТБ.

Категории личных данных, которые обрабатывает портал, включают в себя (но не ограничиваются):

• номер телефона;
• ФИО;
• электронная почта;
• подробные сведения о заказах в «Яндекс.Еде» (адрес, сумма, дата);
• VIN-номер;
• регистрационный номер автомобиля;
• паспортные данные (серия, номер, кем выдан, регистрация).

Причем согласно самой записи на «Хабре», а также комментариям к ней, специалисты и энтузиасты, которые изучили исходные архивы с данными, утечки содержат гораздо больше информации. Например, точную геолокацию пользователей «Яндекс.Еды» в момент заказа. Общее количество номеров телефонов превышает шесть миллионов, суммарное число затронутых россиян может быть существенно больше.

Как пишет Forbes, комментарии от всех вышеупомянутых источников «сливов» довольно однообразные — либо «ничего страшного», либо «у нас не крали». Представитель ВТБ отметил, что указанные на том сайте данные не являются персональными, а лишь указанные в «Системе быстрых платежей» номера телефонов. Пользователи их сами указывают и это необходимо для работы сервиса. К банковским аккаунтам получить с их помощью доступ невозможно, так что средства клиентов в безопасности.

В Wildberries утечку отрицают. Пресс-служба «Авито» утверждает, что данные собраны из открытых источников (опубликованных объявлений). Каким тогда образом в базе появились номера телефонов, которые вроде как скрыты на сервисе — никто объяснить не смог. Министерство внутренних дел в своем Telegram-канале выпустило отдельную запись с опровержением информации. В ней отмечается, что «тестирование ведомственных информационных ресурсов на предмет их возможных уязвимостей проводится специалистами технических служб на постоянной основе <...> и в данном случае опубликованная информация по результатам проведенной проверки не находит своего подтверждения».

Тем не менее, в сети, практически в совершенно открытом доступе находится колоссальный объем персональных данных россиян. Вот так выглядит «пробив» номера телефона автора этой статьи:

Информация, в целом, соответствует действительности. Правда, автомобиль продан три года назад, но после этого на учет не ставилась. Плюс имя в соцсети VK взято из древней утечки десятилетней давности. Остальные данные — более чем актуальные. Не хватает только строчки Wildberries, но автор этим сервисом не пользовался никогда. В целом, судя по обсуждениям этого ресурса, сведения в его базах собраны за очень разные периоды. Самые опасные (паспорт и машина), чаще всего актуальны по состоянию на ноябрь-декабрь прошлого года.

Создатели ресурса, если верить описанию на главной странице, преследуют благородную цель — показать россиянам, как все плохо в стране с кибербезопасностью. Мол, посмотрите, как много данных о вас собирают разные компании, при этом их защита явно не в приоритете. А получить к ним доступ даже не самым богатым и подкованным в IT злоумышленникам не составит труда. Наличие столь подробных баз персональных сведений открывает широчайший простор для мошенничества с использованием социальной инженерии (те самые звонки от «службы безопасности банка», например). К тому же, видя расходы человека на доставку еды можно косвенно оценить его благосостояние и выбирать таким образом цели. Что немаловажно, авторы карты и «пробивалки» утверждают, будто все данные взяли из свободно курсирующих по даркнету архивов.

Тем не менее, Робинами Гудами этих людей считать не стоит, они действуют полностью вне рамок этики «белых хакеров». Нормальные сервисы для проверки своих данных на утечку работают совершенно иначе. Логин, почта или телефон не покидают браузера пользователя, скрипт вычисляет их хэш-сумму и отправляет на сервер, где ее сверяют с данными в базе. И уже тем более подробную выгрузку по любому номеру никогда предоставлять никто не будет.

Что с такими ситуациями делать рядовым россиянам — вопрос открытый. Угроза реальна и весьма серьезна, но легальных инструментов борьбы с ней нет. В Европе и США законодательная база позволяет не только запросить у компаний и госучреждений полный отчет об использовании своих персональных данных, но и засудить на колоссальные суммы за нарушение правил их хранения и обработки. В России подобные инициативы далеки от реализации, можно лишь попробовать лоббировать их через своих депутатов. За подтвержденную утечку «Яндекс.Еду» оштрафовали на смехотворные 60 тысяч рублей — меньше копейки за пострадавшего пользователя.