Разборы

Утечка данных «Яндекс.Еды»: какие риски, что делать сейчас и как можно обезопасить себя в будущем

Паролям и деньгам, вероятно, ничего не угрожает. Но наглядная карта может стать источником информации для сталкеров и агрессивных активистов.

Скриншот карты с данными «Яндекс.Еды»

Вечером 22 марта несколько телеграм-каналов опубликовали ссылку на сайт с картой, на которой визуализировали слитые данные десятков тысяч клиентов «Яндекс.Еды». В открытом доступе оказались имена, адреса доставки, номера телефонов и траты за последние полгода. Крупная утечка вызвала резонанс в рунете, многие пострадавшие призвали компанию к ответственности.

Некоторые пользователи впервые получили доступ к такой масштабной базе данных, да ещё в настолько «наглядном» виде, и задались вопросами о возможных последствиях. TJ разобрался, чем может обернуться ситуация, стоит ли бояться мошенников и как обезопасить себя сейчас и в будущем.

Чем грозит утечка «Яндекс.Еды»

Сливы данных, в том числе такие масштабные — не редкость. Информация из разных сервисов и баз данных попадает в открытый доступ регулярно: по данным InfoWatch, в феврале 2022 года произошло как минимум три утечки, в одной из которых скомпрометировали данные 19 миллионов клиентов облачного сервиса. Крупнейшая утечка в России произошла в 2019 году, когда в даркнете появились данные о 60 миллионах кредитных карт «Сбербанка».

Основную опасность представляют утечки паролей и данных банковских карт — такой информацией мошенники могут воспользоваться моментально и почти без дополнительных усилий, получив доступ к личным аккаунтам и денежным счетам. В случае с «Яндексом» слили имена, номера телефонов и адреса клиентов. Этими данными обычно «обогащают» общие базы данных, которые впоследствии могут использовать для телефонного мошенничества.

Из необычных данных, которые утекли из «Яндекс.Еды» — информация о тратах в сервисе за последние полгода. Она даёт примерное представление о финансовом состоянии клиентов — в теории, вкупе с точными адресами этим могут воспользоваться домушники. Однако выводы по расходам на доставку еды слишком размыты, а у преступников есть и другие, более эффективные способы поиска цели.

Пожалуй, в первую очередь конкретная утечка и особенно её последующая визуализация угрожает публичным лицам. В соцсетях уже начали искать информацию об известных людях, а в перспективе открытыми данными смогут воспользоваться, например, при подготовке расследований против чиновников. В декабре 2020 года Bellingcat и The Insider изучили дело об отравлении Навального*, начав как раз с покупки базы данных в даркнете.

Однако вычислить адрес по телефону или имени могут не только у известных личностей, но и обычных людей. Журналистка Фарида Рустамова считает, что недавнее обращение Путина об «самоочищении» России от предателей ставит под угрозу всех, кто выступает против действующей власти: благодаря утечке теперь проще найти адрес активиста и, например, нарисовать на его двери «Z». То же самое касается и тех, кто сталкивается со сталкингом или любым видом преследования в интернете и жизни.

Фото «Новый Калининград»

Что делать прямо сейчас

Если вы не знаменитость, не делали громких заявлений в сети и не боитесь, что кто-то раскроет ваш адрес, можно не предпринимать конкретных действий и ограничиться общими правилами безопасности. При подозрительных звонках из банка лучше самостоятельно связаться с сотрудниками по официальному номеру или лично посетить отделение. Если звонят из органов, то стоит дождаться официальной повестки или также обратиться самому.

https://tjournal.ru/post/110591

В сети предлагаются радикальные способы обезопасить себя после утечки данных — сменить адрес проживания и номер телефона. Это тоже относится скорее к публичным лицам, которые могут себе позволить срочный переезд. Смена сим-карты кажется более доступным вариантом, но и в этом случае придётся столкнуться с рядом проблем: от оповещения друзей и близких до привязки всех сервисов и аккаунтов, работающих через номер телефона.

На сайте с базой предлагается удалить данные, обратившись по телефону, но номер меняется после каждого обновления. Звонить не стоит — неизвестно, кто создал сайт и какие у него намерения. Кроме того, таким образом люди подтверждают информацию о себе, так что не стоит и вводить в поиск свои имя и номер телефона. Слив произошёл ещё 1 марта — мошенники в любом случае могли сохранить архив заранее. А учитывая прошлые утечки, данные части пользователей и так присутствуют в общих базах.

На всякий случай стоит обновить пароль от аккаунта в «Яндексе». Возможно, что в общий доступ выложили лишь часть данных, а у злоумышленников есть и остальные, включая пароли. Не лишним будет обезопасить другие аккаунты, привязанные к слитым почте или телефону — обновить контрольные вопросы и включить двухфакторную аутентификацию.

Как обезопасить себя в будущем

Куда актуальнее вопрос о том, как обезопасить себя в будущем. В «Яндексе» и других подобных онлайн-сервисах, объединяющих разные услуги, всё завязано на синхронизации информации. Чем больше данных вы предоставляете такси, доставке, онлайн-магазину и другим приложениям, тем выше риск при утечке данных. Чтобы снизить этот риск, можно пожертвовать удобством экосистемы и завести отдельный номер телефона для заказов в сети.

Новая сим-карта поможет в первую очередь от утечки номера телефона — но часто это единственное, что требуется указать в точности. Многие сервисы не просят полных данных или, по крайней мере, не проверяют их. При заказе или регистрации можно указать только имя или вымышленную фамилию. Судя по слитой базе данных, многие так и делали. Найти человека только по номеру и с вымышленным именем если и возможно, то намного труднее.

Скрыть адрес при оформлении доставки уже не получится, но и в этом случае можно хотя бы усложнить поиск. Например, ограничиться улицей и номером дома, а квартиру указывать либо в комментарии к заказу, либо лично курьеру при уточняющем звонке. Правда, некоторые компании могут внести нужную информацию в свою базу сами, чтобы оптимизировать доставку. Можно либо попросить их не делать этого, либо вообще встречать курьера у подъезда.

Онлайн-сервисы стали неотъемлемой частью жизни миллионов россиян, так что полностью обезопасить себя от утечек информации невозможно. Лучшее, что можно сделать — придерживаться общих правил безопасности: включить двухфакторную аутентификацию, где это возможно, использовать для разных аккаунтов разные пароли, регулярно менять их и не оставлять свои данные в подозрительных источниках, которым вы не доверяете.

https://tjournal.ru/post/570552

*Государственные органы внесли Алексея Навального в список террористов и экстремистов.

#утечки #яндекс #безопасность #яндекседа