Привет.
Никто из компаний не защищен от утечки данных, которая может случиться из-за человеческого фактора, когда сотрудник компании пренебрегает своими обязанностями или вовсе действует злонамеренно. Корпорации выставляют несколько уровней защиты, стараются обезопасить себя и свои данные, но никогда защита не может быть стопроцентной. Тут важно понимать, насколько компания прикладывает усилия по защите данных — как своих, так и пользовательских. Зачастую понять это можно только постфактум, когда грянул гром и данные оказались в свободном доступе.
Одной из самых громких утечек пользовательских данных можно считать таковую в сервисе «Яндекс.Еда», она случилась в конце февраля, а 1 марта компания сообщила об этом десяткам тысяч пользователей в письме. Я один из тех, кто это письмо получил.

На примере этого инцидента можно рассмотреть, как реагировал «Яндекс» и как можно было обыграть эту ситуацию. Забегая вперед, скажу, что в «Яндексе» привычно решили сделать вид, что проблемы не существует, и постараться быстрее о ней забыть. Получилось как минимум плохо, и эта история будет догонять компанию еще долгие годы. Попробуем разобраться в том, что случилось, и в том, что «Яндекс» сделал, а главное, чего он не сделал. Это будет полезно для всех, кто попадет в такой оборот, возможно, негативный опыт «Яндекса» научит, как вести себя в подобных ситуациях.
Никто не застрахован от проблем, и тут важно, как компания реагирует на это, что рассказывает, почему имеют значение слова и действия. В «Яндексе» сообщили об утечке только в момент, когда об этом стало известно СМИ, тут не было никакой работы на упреждение. И это выглядит как заметание неприятной информации под коврик: а вдруг никто не заметит?
Работая с данными, я всегда стараюсь сохранить точность формулировок, и письмо, которое я получил от «Яндекса», выглядит странным. В нем утверждается, что в интернет “попали номера телефонов наших клиентов” и тут же “утечка не коснулась банковских и платёжных данных, логинов и паролей”. Любой клиент, который пользуется сервисами «Яндекса», в курсе, что ваш номер телефона выступает как логин в этих сервисах. Мелочь, казалось бы, но хорошо характеризует подход компании, которая не заботится о деталях. Такие мелкие оговорки зачастую многое говорят об общей картине. С другой стороны, то, что в «Яндексе» очень слабый PR, давно стало притчей, он номинально существует, в реальности толпа пиарщиков пасует перед любой мало-мальски сложной задачей. Да что там сложной, даже довольно обыденные вещи вызывают оторопь, например, ответ на запрос комментария — ему даже могли “по ошибке” присвоить номер обращения и направить журналиста на автоматизированную систему помощи клиентам. Это смешно и грустно одновременно. Проблема там выросла из обратной ситуации: отчаявшиеся клиенты, которые не могли получить поддержку от «Яндекса», начинали писать на все найденные адреса, в первую очередь в PR, отсюда необходимость завести все запросы в автоматическую систему ответов.
С 1 марта прошло три недели, но больше «Яндекс» на тему утечки ничего не комментировал. Хотя за эти недели появилось энное количество ресурсов, на которых данные обработаны в удобном виде, есть карта, на которой можно посмотреть адреса, количество потраченных денег за прошедший год, узнать имя и фамилию человека, номер его телефона, полный адрес и, возможно, код от домофона плюс дополнительную информацию.
Заказы и описание блюд, которые вы покупали, при этом не выводятся, но в дампе базы данных эти сведения также содержатся. Из них можно сделать выводы о том, что вы любите есть, как много еды заказываете и на какое число человек по числу заказанных приборов.
Развлекался тем, что смотрел, что заказывают мои соседи, на какие суммы, делился с ними информацией в разговорах, что вызывало у них шоковое состояние — письмо от «Яндекса» практически все проигнорировали и не увидели. А те, кто увидел, не придали значения, так как не посчитали чем-то важным.
Можно выбирать людей по районам, конкретным домам и смотреть на их заказы. Бесценная информация для мошенников, которые могут использовать ее в рамках социальной инженерии, представляться сотрудниками «Яндекса» и выманивать те или иные сведения. И это дополнительные риски для компании, от которых защититься можно уже только одним способом — максимально широко рассказать пострадавшим клиентам (а мы именно пострадавшая сторона) о том, что такое возможно. Только комплексный подход тут может защитить клиента от мошенников. Нужно, чтобы люди знали об этой ситуации и понимали, что происходит. Тут можно организовать подробную рассылку, рассказать на своих ресурсах об этом — можно придумать огромное число разных полезных вещей. На мой взгляд, тут имеет смысл делать фокус не только на утечке «Яндекса», но брать все подобные утечки совокупно и объяснять, показывать на примерах, разжевывать все для людей. И это будет полезно для всех, «Яндекс» тут взял бы на себя роль учителя. Подобный подход позволяет нивелировать утечку данных, показать, что компании не все равно и она использует этот повод для того, чтобы защитить всех людей, а не только своих клиентов. В рамках «Яндекса» это ничтожный бюджет, огромная прорва сотрудников PR могла реализовать такой подход в сжатые сроки, все ресурсы для этого внутри есть. Но этого не было сделано, так как «Яндекс» не понимает сути коммуникаций как таковых, пытается все скрыть. Когда компания влетела в неприятности, нужно не закрывать на них глаза и не делать вид, что ничего не произошло, а пытаться активно работать над тем, чтобы такого не было. Но это не путь «Яндекса».
Другим важным моментом становится повторная коммуникация. Например, тот же Тигран Худавердян мог бы написать от своего имени письмо к пользователям, покаяться и объяснить, в чем была проблема и как в «Яндексе» ее исправили. Понимаю, что не барское это дело — общаться с клиентами, но топ-менеджеры «Яндекса» умеют только красиво рассказывать сказки на своих конференциях, которые теперь превратились в огромные рекламные ролики. Проверка жизнью показывает, что общаться с людьми они не могут и не хотят.
Проблема эта для «Яндекса» носит системный характер, так как руководство компании притворяется, что они близки к своим пользователям. В этой игре топ-менеджмент отлично научился не видеть проблем, игнорировать отзывы с рынка, отстроить свою жизнь от происходящего. И это превратилось в умение не слышать и не слушать своих клиентов. Поэтому неудивительно, что «Яндекс» занял такую позицию при данной утечке.
Что нужно было сделать? Через неделю подготовить письмо, в котором изложить несколько важных моментов:
- Повторить предысторию проблемы и утечки данных;
- Рассказать, как поменялось отношение к данным, как их теперь хранят;
- Почему подобная ситуация не повторится;
- Принести извинения еще раз (каяться можно вечно, но активно нужно в первый месяц).
Вместо этого «Яндекс» молчал. И вот появляется публикация в Forbes, там старая утечка подсвечивается одним из сайтов, где можно наглядно увидеть все данные. Причем первоначальные ресурсы, например, тот же Telegram-канал с данными пользователей, недоступны. В «Яндексе» оперативно просили операторов блокировать такие сайты и ресурсы, но не смогли добиться их закрытия со стороны провайдеров, которые находятся вне России. Хотя тут задача не самая архисложная, такие данные блокируются, если есть претензия от юристов компании. Для «Яндекса», который изначально живет в Голландии, это не должно быть затруднительно. Нужно просто захотеть это сделать.
Потерянные данные становятся для «Яндекса» проблемой, и пострадавшие пользователи могут обратиться в суд. Срока давности тут нет, поэтому в ближайший год таких обращений может быть много, и это риск для компании. Как только кто-то победит в суде, а это довольно легко сделать, понесутся табуны пострадавших. Компенсация может составить от 10 до 50 тысяч рублей, тут все зависит от юриста и судьи, который будет рассматривать дело. Учитывая масштаб утечки, потери «Яндекса» будут довольно заметными.
Можно ли избежать этого и сработать на упреждение? Однозначно да. Не занимать позицию страуса, когда вам отвешивают пинки, а взять инициативу в свои руки. В частности, предложить пользователям компенсацию, причем необязательно это будут живые деньги, их как раз не стоит давать. Например, предложить коды компенсаций в качестве подписки на «Яндекс.Плюс». В зависимости от размера заказов такая подписка может быть на 3, 6 или 12 месяцев. Пустячок для «Яндекса», но приятная плюшка для пользователей. Плюс тут можно проработать вопрос того, что, пользуясь компенсацией, человек отказывается от будущих претензий по этой утечке (вопрос к юристам, но сделать такую оферту возможно). И это снимает накал страстей плюс убирает проблемы в будущем.
«Яндекс» — это не только сервис по доставке еды, но и такси, и другие приложения. И на них тоже распространяется негатив от этой утечки, доверие к «Яндексу» падает. Компании необходимо публично заявить, что они провели аудит данных, защитили их. Хорошим тоном будет пригласить, например, компанию Касперского, чтобы они провели независимый аудит и потом так же публично описали его результаты. Это хороший тон, плюс такие действия демонстрируют, что компании не все равно и она действительно серьезно к этому относится.
Но в «Яндексе» менеджменту все равно, утечка не играет никакой роли, это временная неприятность, которую они хотят быстро забыть. Знаете, почему я могу это утверждать? Поиск от «Яндекса» лидирует в России, найти утекшие данные очень легко с помощью… того же «Яндекса»!!! То есть сервис не блокирует свои утекшие данные, да и зачем?

Это первое, что нужно было сделать. Но этого никто не сделал, ибо все равно. И вот это все равно заставляет не верить «Яндексу», так как никаких уроков компания из каждой подобной ситуации не извлекает. Только еще больше замыкается в своем выдуманном мире, где нет проблем и они не достигают ушей топ-менеджмента.
В поддержке отвечают заученными фразами, которые показывают желание забыть проблему.

Да, сегодня сложная ситуация на рынке, у «Яндекса» пожар по многим направлениям. Но эта ситуация с утечкой данных одна из первоочередных, от нее в прямом смысле зависит имидж компании. С другой стороны, как кто-то сказал про «Яндекс», мертвое умереть не может. С имиджем компании тут полный швах, восприятие «Яндекса», несмотря на все хорошее, что компания делает (а такого много), остается во многом негативным. И это то, что нужно было исправлять давным-давно, но никто этого не делал.
Главное, чему нужно научиться «Яндексу», это не жить на выдуманном Олимпе, слышать своих пользователей и считать их достойными ответов и решения проблем. Пока этого нет даже отдаленно, у «Яндекса» все хорошо на словах. На деле это не так, и ворох проблем только усугубляется.
Мы провели опрос в Telegram, и он отлично показал вашу реакцию на утечку.

P.S. Про продолжение проблем «Яндекса» мы поговорим позднее в отдельном материале, следите за анонсами на сайте. Первую часть этого материала вы можете найти в ссылках ниже.
яндекс все???
А есть вообще примеры, когда крупные компании после подобных утечек или проблем публично все рассказывают и объясняют пользователям?Я сходу не могу вспомнить.
Хорошим тоном будет пригласить, например, компанию Касперского, чтобы они провели независимый аудит и потом так же публично описали его результаты. А что? Аналитики и админы касперского довольны своими зарплатами и ни у кого рука не дрогнет? За это ручаться совершенно нельзя.Хорошо раздавать советы сидя в халате и тапочках в кресле качалке и попивая что нибудь бодрящее из бокала. А на деле, любая система в процессе усложнения раньше или позже теряет управляемость при отсутствии ответственных в соответствующих критических узлах системы.Что нужно делать видно даже аналитику со стороны, не видно другое… это некому делать внутри.
Да пора уже вывесить базу всех жителей страны где-нибудь на госуслугах. Были же раньше телефонные справочники с ФИО, телефоном и адресом, и ничего, как-то жили в условиях тотального "деанона".А сейчас у нас ой-вэй, персональные данные, конфиденциальность, и базы утекающие отовсюду.
В 90е в нашем городе продавался телефонный справочник с ФИО, номерами домашних телефонов и адресами большинства абонентов Ростелекома (монополисты в то время на рынке стационарной связи). И как то никого вообще это не парило. Сейчас есть getcontact, например, тоже не добавляет анонимности. Если не слиты платёжные данные , то вообще не вижу проблемы глобальной. Говорил не раз — никому мы нафиг не нужны. Мошенники и без данных способы находят
Оферту с отказом от обращения в суд, конечно, подготовить можно, вот только перспективы её представляются весьма туманными в силу, например, ч.2 ст. 3 Гражданского процессуального кодекса Российской Федерации : " Отказ от права на обращение в суд недействителен.".
Ну вон ДИТ базу ковидозных про…ал, недельку пошумели и тишина
А я сам в магазин хожу.
Эту базу так же можно было найти в интернете в два клика?
Такие сливы больше напрягают известных или обеспеченных личностей. Из-за слитого номера телефона. Обычным васям пупкиным вообще на эти сливы по барабану. Так что масштабы проблемы сильно гиперболизированы.Как тут верно заметили, в 90-е печатались во всех городах телефонные справочники и никого это вообще не парило.
Повторить предысторию проблемы и утечки данных;Рассказать, как поменялось отношение к данным, как их теперь хранят;Почему подобная ситуация не повторится;Принести извинения еще раз (каяться можно вечно, но активно нужно в первый месяц). В случае повторной утечки — повторить процедуру. Рассказать, пообещать, извиниться. Рассказать, пообещать, извиниться. Рассказать…. Только мне кажется, что это не выход? Кстати, а что говорит закон о защите персональны данных, про ответственность за утечки?
Напрягает не конкретный слив, а халатное отношение к защите персональных данных. То что сейчас не утекло важного, не означает, что так будет и в следующий.
А кто кроме тебя это знает? У нас уровень правовой грамотности достаточно скромный, да и не только у нас. Хуже наверно только экономическая грамотность.
Проблема в том, что эту базу распиарили в новостях и теперь любой желающий может воспользоваться ей, как с добрыми намерениями, так и не очень.Если раньше такие сливы продавались через даркнет или телеграм, теперь тупо лежит по ссылочке, которая доступна всем.
Да, я нашел и её и себя там
где эта ссылка-то ? )) везде побанили
Не буду писать, а то меня забанят. У меня вчера на работе на этом сайте сидели все, даже люди, далекие от всей этой движухи (бухгалтеры, секретарши и прочие).
А хорошие времена были, нашёл номер в системе по фамилии и позвонил знакомым тем же.Соцсетей то не было.
Да у большинства, у кого номера телефонов по 5-10 лет, уже давно всё слито. Это конечно не оправдывает, но в целом ничего нового.
Остается только надеяться что в яндексе нигде не валяются пароли в незашифрованном виде в текстовых файлах, как это было в мордокниге.
А компания эппл, когда возникает какой-то косяк, сразу бежит каяться и признает проблемы до того, пока про них не стало общеизвестно?
Кстати, с полгода-год почти не посещал ресурс. Чет комменты как-то захирели. Повестка сейчас не та или надоело всем? Так, просто интересно.
Заметание проблем под ковер, бОльшая проблема, чем ее широкое освещение. Заметя, вы может быть снизите угрозу данного конкретного случая, но ничуть не улучшите общую обстановку, ни для компании, ни для отрасли. Страусиная позиция.
Мне даже письмо не прислали, хотя мои данные в базе есть.
Я там тоже ни разу не заказывал, просто ради интереса зарегистрировался, в итоге мои данные в слитой базе.
Хорошо я жрачку не заказываю. А если и беру все данные липа. Можно просто дом писать. Дорого там щас, только если можно дешего
Муртазин если раньше имел мнение по любому вопросу, перестал говорить своё мнение о происходящем, говорит кризис какой-то происходит, а из-за чего непонятно. Даже про-то, что блоггера посадили за сбор донатов ни слова. Не интересно.
Яндекс зарекомендовал себя говносервисом когда его говносервисы втихую начали устанавливаться с каким либо софтом. Это потом они галочки добавили. И то порой , так спрячут , что удивляешься откуда появился яндекс браузер и всякий яндешлак
"Уж сколько раз твердили миру…"Эльдар, ну как бы я уже не раз предупреждал, за последние 10 лет, об опасности отдавать свои данные каким то сервисам в интернете.А сейчас даже не знаю как реагировать — то ли Вы не прислушиваетесь к советам, то ли, что еще хуже, просто игнорируете их, считая себя умней. https://uploads.disquscdn.c…
Сам удивляюсь.
На мой взгляд Яндекс поступает логично минимизируя потери. Массовых судебных исков в России как-то странно ожидать. Если бы не mobile-review многие о проблеме вообще не узнали. Банально замалчивать дешевле, как будто ничего не было. И Яндекс в этом не одинок.
В России нет практики массовых исков к компаниям, это вам не потенциальные страны с недружественной политикой к РФ!У нас в стране, групповое заявление в милицию\полицию считается на уровне анонимки — потому что "ответственность размыта со стороны истца".Практика такова, в случае нарушения прав граждан, КАЖДЫЙ гражданин должен отдельно заявить о совершенном против него правонарушении, и лишь по желанию карающих органов, эти заявления могут быть объединены в одно дело — проще указать в отчетности одно нерасследованное дело на 100500 заявителей, чем иметь те же самые 100500 отдельных дел в разобщенном виде (ну и есть исключения, когда внезапно возбуждается или прокуратура или следственный комитет).
Эх, когда уже оставят в покое этого Васю?В наш мир так прочно и глубоко вошли онлайн-сервисы, что подобное должно волновать практически каждого. Звонок из банка с предложением кредита? Не новость. Новость, что если вам позвонили на новую симку, которую вы заметили только в Яндекс такси. Не думаю, что ситуация надуманная.Из 100500 звонков "лохам" с информацией о них и 100 удачных (в плане мошенничества) уже страшно. А мы в этом живём.Кто-то огородил себя антиспамами, ВПН и прочими заборами, но одного подобного случая вам может быть достаточно, чтобы чего-то лишиться.Так что, про раздутость проблемы — не совсем корректно, имхо
"Течёт река Волга — Конца и края нет…"
а чем просто "адрес электронной почты" скомпрометирован? чем плохо то? (без пароля, один адрес)
раньше когда был слив все что было у человека это ноль на счете, старый ТВ и ковер на стене :)А сейчас если он заказал 400к еды за месяц — наверно у криминальных элементов облегчится задача по поискам целей
Ну когда в следующий раз утечет, могут сказать что сделали реально все возможное, "даже Касперские подтвердили"
https://tass.ru/obschestvo/…
Цукерберг извинялся.. не сразу, но извинялся
свежак — СДЭК в марте 22
Через 3 года, когда начали по судам таскать? Ну ок, ждем тогда 3 года извинений Яндекса.
А что там было? Не помню ничего, хотя пользуюсь сервисом.
Вы не понимаете! Это другое !
https://yandex.ru/search/?l…
Все мои данные слили, ни одного письма не написали, специально искал.И почему компенсация должна зависеть от суммы заказов? Кто меньше нажрал — того данные менее важны?У меня по дурости в этой шараге всего один заказ был, зато данных они слили гораздо больше, чем у всех соседей, которые заказывали в 10-20 раз больше.
" — добрый день, с вами говорит служба безопасности (один зеленый банк подставьте свой сервис с утекшими паролями)"Знакомая ситуация?😁😁😁И к слову сказать, там не только е-майлы утекли, если судить по куску скриншота утекли и адреса и пароли. А имея логин и пароль — можно и получить доступ к данным хранящимся на сервисе!
Ок, неплохо. Но почему я как клиент не получил даже уведомления об этом?
Да ладно, у кого из нас бревна в глазу не бывало!Вспомните, что десяток лет даже сам сайт мобайл-ревью работал с дырявой версией SSL, позволяющей слить приватные данные!
Штраф для Яндекса — 100 тыс. рублей. Это, по сути, абонемент на продажу данных их пользователей. Так же как и штрафы за нарушение ПДД для богатых. Все животные равны, но при капитализме богатые — более равные :)Массового иска как в США у нас нет, т.е. каждый гражданин должен в суде доказывать то, что он пострадал от утечки ПДн. Ну и компенсации у нас смешные.