В интернете размещена карта с данными пользователей «Яндекс.Еды», дополненная информацией из других источников — ГИБДД, СДЭК, Avito, Wildberries и «Билайна». На это обратил внимание Forbes.
Найти любого отмеченного на карте россиянина можно по фамилии или по номеру телефона. На интерактивной карте указаны адреса, номера телефонов, VIN-номера автомобилей и другие данные пользователей сервисов.
Создатели интерактивной карты заявили, что пытаются привлечь внимание к проблеме безопасности данных. По их словам, «конфиденциальность не ценится», а «множество личных данных было незаконно выложено в Сеть»
«Суд оштрафовал «Яндекс.Еду» на 60 тыс. рублей за утечку данных клиентов, т. е. наши адреса доставки и личные данные стоят 0,009 рубля за пользователя (6 397 035 пользователей). Все больше информации попадает в руки преступников, которые могут воспользоваться ею с целью запугивания или обмана. Чтобы понимать риски, вы можете проверить, какая персональная информация есть у мошенников и уголовников», — заявили авторы.
1 марта «Яндекс.Еда» объявила о массовой утечке данных пользователей в результате «недобросовестных действий одного из сотрудников». Речь шла о массиве в несколько миллионов строк, которые содержали адреса, номера телефонов, имена, даты и время заказов. При этом в «Яндексе» подчеркнули, что утечка не коснулась данных банковских карт, а также информации о логинах и паролях клиентов.
Через три недели после этого, 22 марта, в сети появилась интерактивная карта с утекшими данными пользователей «Яндекс.Еды», содержавшая неопубликованные ранее данные. Там были указаны адреса, использованные клиентами «Яндекс.Еды», а на каждом адресе можно было увидеть имена всех клиентов сервиса, их номера телефонов, электронные адреса, общую сумму заказов за последние шесть месяцев, коды домофонов и другую информацию. Также на сайте была возможность поиска по номерам телефонов и фамилиям из базы.
В компании тогда заявили, что создатели карты скомпоновали ранее утекшие данные с другими. В тот же день Роскомнадзор заблокировал доступ к карте и составил на ООО «Яндекс.Еда» протокол по части 1 статьи 13.11 КоАП РФ. В апреле суд оштрафовал компанию на 60 тыс. рублей, ей грозил штраф 100 тыс. рублей.
Руководитель «Яндекс.Еды» Роман Маресов в блоге компании извинился перед пользователями за утечку и заверил, что компания пытается не дать данным пользователей распространиться дальше.