Утечку проверят уголовно

Могут ли пользователи «Яндекс.Еды» рассчитывать на компенсацию после обращения депутата ГД в СК РФ

Следственный комитет возбудил уголовное дело из-за утечки данных клиентов «Яндекс.Еды». Процесс начался после запроса депутата Госдумы Михаила Романова. Он пояснил, что обратился в правоохранительные органы, поскольку был нанесен ущерб гражданам, а их личная информация могла оказаться у преступников, сообщают СМИ.

Фото: Александр Казаков, Коммерсантъ

Утечка данных пользователей «Яндекс.Еда» произошла в марте. Тогда в сети оказались адреса доставки, телефоны, электронная почта и суммы заказов за последние полгода. Подробнее об инциденте — в справке “Ъ FM”:

1 марта в интернете оказались доступны телефоны пользователей «Яндекс.Еды» и информация об их заказах. Утечку информации в сервисе подтвердили и объяснили: данные клиентов оказались в общем доступе из-за «недобросовестных действий одного из сотрудников». Уточнялось, что утечка не коснулась банковской информации, а также логинов и паролей.

По итогам проверки, «Яндекс» заявил, что ужесточил подход к хранению чувствительной информации, исключил ее ручную обработку, и сократил сотрудников с доступом к ним минимум втрое.

В конце марта интернет-пользователи заметили интерактивную карту, которая была построена на основе данных клиентов «Яндекс.Еды». На ней были выделены 58 тыс. адресов. После клика на любой из них высвечивались инициалы пользователя, его номер телефона, адрес электронной почты и общая сумма всех заказов.

Тогда в компании заявили, что никаких новых утечек данных после 1 марта – не было. Карту с данными пользователей заблокировал Роскомнадзор. Тогда же некоторые пользователя сервиса, чьи данные попали в сеть, подали коллективный иск к «Яндекс.Еде». Заявители утверждали, что утечка нарушает неприкосновенность частной жизни и жилища, и потребовали от компании компенсацию в размере 100 тыс. руб. каждому.

После инцидента суд уже дважды штрафовал «Яндекс» на 60 тыс. руб.

Теперь уголовное дело возбудили по трем статьям — нарушение неприкосновенности частной жизни, неправомерный доступ к компьютерной информации и создание, использование и распространение вредоносных программ.

В «Яндексе» подтвердили “Ъ FM” факт возбуждения дела. При этом подчеркнули, что компания заявила правоохранителям о доступе злоумышленников к данным пользователей сразу, как стало известно об утечке.

По оценке эксперта в сфере информационной безопасности, руководителя компании «Интернет розыск», Игоря Бедерова, для уголовного дела условий достаточно: "Яндекс" является активным участником чаепитий Минцифры, которые проходили в июле. Их основной идеей является снижение рисков ведущих IT-компаний в части утечек персональных данных. Объективные их причины — недостаток специалистов, импортозамещение, отсутствие национальных продуктов, национальной программы Bug Bounty.

Почему все прочие компании отделываются мизерными штрафами, а "Яндекс" оказался связан с уголовным делом? В отличие от всех прочих организаций, где действительно были утечки информации, произошедшие по халатности или из-за недостатков программного обеспечения, в "Яндексе" был действительно взлом. Возможно, с использованием сотрудников, находящихся внутри компании, и именно для этого заводится уголовное дело. Утечка "Яндекса" повлекла за собой крупный резонанс и риски. Были противоправные действия, есть подозреваемые, в том числе и на территории России».

После возбуждения уголовного дела к ответственности привлекут, скорее, не компанию, а конкретного специалиста, поясняет юрист Criminal Defense Firm Даниил Горьков. Однако он не исключает, что в перспективе именно юридическое лицо может ожидать иск в Арбитражный суд: «Ситуация с "Яндекс.Едой" является неким следствием уже сложившегося тренда, когда возбуждаются различные уголовные дела по статьям о нарушении неприкосновенности и неправомерного к информации. Наибольшие риски привлечения к ответственности, конечно же, имеются у представителей корпоративного сектора — должностные лица, отвечающие за безопасность и конфиденциальность.

Есть такая практика, когда любое уголовное дело по итогу может перетечь в гражданское, и, наоборот. Вполне возможно, что в случае с "Яндекс.Едой" и распространением данных, если кто-либо из компании будет привлечен к уголовной ответственности, вполне возможно возбуждение гражданского иска по отношению к таким лицам.

И в случае признания таких лиц виновными мы не можем исключать того, что в отношении самой "Яндекс.Еды" как юридического лица уже будет подан иск в арбитражный суд. После этого с организации начнут взыскивать деньги за то, что они допустили ситуацию, когда распространена конфиденциальная информация. Конечно, мы не можем говорить о том, что корпорация может быть привлечена к уголовной ответственности».

В мае в интернете распространилась новая версия карты, где отображались данные не только пользователей «Яндекс.Еды», а также ГИБДД, СДЭК, ВТБ и Wildberries. Помимо адресов и номеров телефонов, там отображались VIN-номера автомобилей. Тогда в «Яндекс. Еде» еще раз подчеркнули, что единственная утечка произошла в марте и больше случаев не фиксировали. В ВТБ поясняли, что информация из базы не относится к персональным данным клиентов, и не позволяет осуществить какие-либо манипуляции с их счетами. Утечку данных также опровергли в МВД, Wildberries и «Авито».


Новости в вашем ритме — Telegram-канал "Ъ FM".

Ольга Сергиенко

Вся лента