«Эти меры следовало принять раньше, но машину времени еще не придумали». Глава «Яндекс. Еды» прокомментировал массовую утечку данных клиентов
«Яндекс» впервые подробно отреагировал на утечку данных пользователей «Яндекс. Еды», после которой в сети появился сайт с картой, где указаны адреса электронной почты клиентов, их номера телефонов, а также суммы, потраченные за последние шесть месяцев. Заявление руководителя сервиса Романа Маресова опубликовано в блоге компании.
В сообщении указано, что компания, узнав о об утечке «массива из нескольких миллионов строк» 28 февраля, «сразу же (1 марта) предупредила пользователей и приняла меры», «но было поздно — злоумышленники начали распространять похищенную информацию в интернете». Отмечается, что утечки логинов, паролей и данных банковских карт не было.
По словам Маресова, в карте с данными пользователей «Яндекс. Еды» использовались сведения, которых не было в утекшем массиве: например, ФИО и адреса электронной почты. «Это означает, что создатели сайта скомпоновали данные Еды с данными, утекшими из других компаний», — отметил руководитель сервиса.
«Извините нас, пожалуйста. Мы сильно подвели людей, которые пользовались нашим сервисом», — обратился к клиентам Маресов. Он назвал утечку «беспрецедентным случаем для Яндекса, который считает сохранность данных пользователей высшим приоритетом». «Мы извлекли из этого много уроков, хотя и предпочли бы получить их менее суровым путем», — добавил Маресов.
Руководитель «Яндекс. Еды» также перечислил меры, предпринимаемые компанией для того, чтобы обезопасить данные пользователей в будущем и не дать распространиться уже украденным злоумышленниками данным дальше. По его словам, компания сделала следующее:
- закрыла систему, через которую был получен доступ к данным;
- провела полный аудит безопасности и участила проведение регулярных проверок;
- свела к минимуму количество сотрудников, которые имеют доступ к приватным данным;
- добивается блокировки сайтов и каналов, которые публикуют данные;
- связывается с регистраторами и облачными хранилищами — чтобы удалить файлы с информацией о заказах;
- переносит данные в более защищенное хранилище;
- подключит «Яндекс. Еду» к инструменту для управления данными, который «Яндекс» запустил в 2021 году. «С его помощью можно посмотреть, какие данные о вас накопили разные сервисы, и при желании удалить их раз и навсегда», — сказал Маресов.
«Да, эти меры следовало принять раньше, но, к сожалению, машину времени еще не придумали», — сказал руководитель сервиса.