«Яндекс.Еда» и утечка персональных данных в результате несанкционированного доступа

«Яндекс.Еда» и утечка персональных данных в результате несанкционированного доступа

Подразделение компании «Яндекс», сервис «Яндекс.Еда», сообщил об утечке базы данных клиентов. Информация о заказах: ФИО, e-mail адреса, телефоны и адреса доставки более чем 7 млн. пользователей стали общедоступны в результате проблем, связанных с контролем доступа внутри компании. По данным службы безопасности сервиса, утечка стала результатом недобросовестных действий одного из сотрудников.

По результатам внутреннего расследования, в компании решили отказаться от ручной обработки информации и в три раза сократить число сотрудников с физическим доступом к информации. Служба безопасности сервиса уже установила виновного в утечке сотрудника, в отношении которого планируется принять установленные законом меры. Компания также сообщила, что о несанкционированном доступе к данным пользователей подано заявление в правоохранительные органы, а для предотвращения последствий утечки принимаются все необходимые меры.

Руководитель «Яндекс.Еда» Роман Маресов опубликовал в блогах «Яндекс» пост 24 марта 2022 года, где подробно изложил ситуацию с утечкой данных и неудержимым распространением персональной информации клиентов компании в сети Интернет. Несмотря на то, что утечка не коснулась банковских, платёжных и регистрационных данных пользователей, т.е. логинов и паролей, компания действительно получила серьезный коммерческий и репутационный ущерб.

«За прошедшие недели команда «Еды» свела к минимуму количество сотрудников, которые имеют доступ к приватным данным. Мы уже переносим эти данные в более защищённое хранилище и будем тщательно следить за тем, чтобы они не покидали безопасный контур. Мы закрыли систему, через которую был получен доступ к данным, провели полный аудит безопасности и изменили график регулярных проверок — теперь они будут проводиться чаще. Да, эти меры следовало принять раньше, но, к сожалению, машину времени ещё не придумали».

Своевременный и внимательный подход к оценке рисков внутренних утечек данных вкупе с внедрением решения AGRG ЦОД для физической безопасности персональных данных, хранящихся на серверах компаний в дата-центрах или ЦОДах, поможет свести к минимуму такого рода неприятные инциденты.