«Яндекс.Еде» доставят иск
Какие сведения пользователей сервиса оказались в открытом доступе
Юристы готовят коллективные иски против «Яндекса» из-за того, что тот допустил масштабную утечку персональных данных. В сети, по подсчетам СМИ, оказались 58 тыс. адресов, куда клиенты заказывали доставку еды. Злоумышленники получили доступ не только к сведениям о месте проживания, но и полным именам, телефонам, почтам и даже тратам пользователей за последние полгода. Какие риски есть для клиентов сервиса? И можно ли привлечь компанию к ответственности? Разбирался Иван Якунин.
Сама утечка произошла еще в конце февраля, однако похищенные данные оставались исключительно внутри даркнета и масштабной аудитории не имели. До тех пор, пока проект Saverudata не перенес их на интерактивную карту, которую опубликовали в одноименном Telegram-канале. Тогда ресурс чуть не упал от наплыва интересующихся пользователей. В Twitter стали делиться скриншотами, как чей-то сосед за полгода потратил на доставку больше 700 тыс руб. Выяснилось, что почитатели сервиса есть и в храме Христа Спасителя, причем скрываются они под ником Змей Горыныч Fantomas. Но за шутками кроются и реальные риски. Например, на карте оказались личные данные сотрудников спецслужб, которые заказывали еду прямо в офис на Лубянке.
Адреса чиновников и членов их семей могут стать основанием для новых журналистских расследований. Причем в некоторых случаях сервис помогал установить все маршруты пользователя, поделилась с “Ъ FM” москвичка Ульяна: «У меня даже социальных сетей с упоминанием моего имени нет. И вдруг я открываю личные сообщения, где мне пишут: смотри. Я начинаю пробивать, сначала по имени высвечиваются два адреса — рабочий и домашний. При этом меня нашли не только на работе и дома, где я регулярно заказываю еду, но и по адресам моих друзей, где я оформляла заказы. Там буквально все, включая чуть ли не отчество, хотя, насколько я помню, его даже не указывала».
В «Яндексе» поспешили заявить, что речи о новом взломе не идет — это все последствия февральской ошибки. Тогда компания извинялась перед пользователями, признавала, что утечка произошла по вине одного из сотрудников, которого теперь привлекут к ответственности. Также в «Яндексе» ограничили доступ персонала к данным клиентов и обратились в правоохранительные органы. Сам портал, где располагалась интерактивная карта, заблокировал Роскомнадзор. Правда, его авторы пишут, что он все еще доступен через VPN. Защитить похищенные данные вряд ли возможно, соглашается гендиректор компании Tazeros Global Systems Артур Хачуян:
«Интересно, что в этой выборке очень много кодов от домофонов, такой достаточно жирный кусочек для мошенников, чтобы сделать все что угодно: прийти под видом полицейского, прислать какие-нибудь липовые услуги.
Но самое главное, хочет, например, человек кого-то найти, бывшую девушку, какого-нибудь политического активиста, чтобы какие-то нехорошие вещи сделать — пожалуйста. Зашел в гигантский слив, нашел адрес, код от домофона и квартиру. К сожалению, Роскомнадзор особо ничем не поможет. Максимум выпишет копеечный штраф, и это совершенно никак не повлияет на данные, которые уже утекли».
Регулятор действительно составил на «Яндекс.Еду» административный протокол за нарушение законодательства о персональных данных. Сумма штрафа не раскрывается. Параллельно юристы проекта «Сетевые свободы» в Telegram-канале стали собирать обращения пострадавших граждан для подачи коллективного иска. Там назвали подход компании к хранению личной информации недопустимым и предложили оформить доверенность на адвокатов, которые будут действовать от имени клиента. Управляющий партнер DRC Саркис Дарбинян, который помогает с этой инициативой, рассказал, на что можно рассчитывать:
«Есть закон о защите персональных данных, есть общие положения ГК, которые позволяют предъявить этот иск к самой компании. Это займет точно не менее трех-четырех месяцев, возможно, даже больше. И должно быть принято общее решение о возмещении самим пользователям. По нашему опыту компенсацию морального вреда суды взыскивают от 10 тыс руб. до 30 тыс. руб.»
Правда, юристы советуют пользователям быть осторожнее с защитой своих интересов. Портал, который опубликовал карту с данными, предлагает связаться с ними, если пострадавший хотел бы удалить информацию с сайта. Специалисты не рекомендуют этого делать хотя бы потому, что так пользователь косвенно подтверждает подлинность сведений.