Утечка данных в сервисе «Яндекс.Еда» — проблема личных данных

Привет.

Никто из компаний не защищен от утечки данных, которая может случиться из-за человеческого фактора, когда сотрудник компании пренебрегает своими обязанностями или вовсе действует злонамеренно. Корпорации выставляют несколько уровней защиты, стараются обезопасить себя и свои данные, но никогда защита не может быть стопроцентной. Тут важно понимать, насколько компания прикладывает усилия по защите данных — как своих, так и пользовательских. Зачастую понять это можно только постфактум, когда грянул гром и данные оказались в свободном доступе.

Одной из самых громких утечек пользовательских данных можно считать таковую в сервисе «Яндекс.Еда», она случилась в конце февраля, а 1 марта компания сообщила об этом десяткам тысяч пользователей в письме. Я один из тех, кто это письмо получил.

На примере этого инцидента можно рассмотреть, как реагировал «Яндекс» и как можно было обыграть эту ситуацию. Забегая вперед, скажу, что в «Яндексе» привычно решили сделать вид, что проблемы не существует, и постараться быстрее о ней забыть. Получилось как минимум плохо, и эта история будет догонять компанию еще долгие годы. Попробуем разобраться в том, что случилось, и в том, что «Яндекс» сделал, а главное, чего он не сделал. Это будет полезно для всех, кто попадет в такой оборот, возможно, негативный опыт «Яндекса» научит, как вести себя в подобных ситуациях.

Никто не застрахован от проблем, и тут важно, как компания реагирует на это, что рассказывает, почему имеют значение слова и действия. В «Яндексе» сообщили об утечке только в момент, когда об этом стало известно СМИ, тут не было никакой работы на упреждение. И это выглядит как заметание неприятной информации под коврик: а вдруг никто не заметит?

Работая с данными, я всегда стараюсь сохранить точность формулировок, и письмо, которое я получил от «Яндекса», выглядит странным. В нем утверждается, что в интернет “попали номера телефонов наших клиентов” и тут же “утечка не коснулась банковских и платёжных данных, логинов и паролей”. Любой клиент, который пользуется сервисами «Яндекса», в курсе, что ваш номер телефона выступает как логин в этих сервисах. Мелочь, казалось бы, но хорошо характеризует подход компании, которая не заботится о деталях. Такие мелкие оговорки зачастую многое говорят об общей картине. С другой стороны, то, что в «Яндексе» очень слабый PR, давно стало притчей, он номинально существует, в реальности толпа пиарщиков пасует перед любой мало-мальски сложной задачей. Да что там сложной, даже довольно обыденные вещи вызывают оторопь, например, ответ на запрос комментария — ему даже могли “по ошибке” присвоить номер обращения и направить журналиста на автоматизированную систему помощи клиентам. Это смешно и грустно одновременно. Проблема там выросла из обратной ситуации: отчаявшиеся клиенты, которые не могли получить поддержку от «Яндекса», начинали писать на все найденные адреса, в первую очередь в PR, отсюда необходимость завести все запросы в автоматическую систему ответов.

С 1 марта прошло три недели, но больше «Яндекс» на тему утечки ничего не комментировал. Хотя за эти недели появилось энное количество ресурсов, на которых данные обработаны в удобном виде, есть карта, на которой можно посмотреть адреса, количество потраченных денег за прошедший год, узнать имя и фамилию человека, номер его телефона, полный адрес и, возможно, код от домофона плюс дополнительную информацию.

Заказы и описание блюд, которые вы покупали, при этом не выводятся, но в дампе базы данных эти сведения также содержатся. Из них можно сделать выводы о том, что вы любите есть, как много еды заказываете и на какое число человек по числу заказанных приборов.

Развлекался тем, что смотрел, что заказывают мои соседи, на какие суммы, делился с ними информацией в разговорах, что вызывало у них шоковое состояние — письмо от «Яндекса» практически все проигнорировали и не увидели. А те, кто увидел, не придали значения, так как не посчитали чем-то важным.

Можно выбирать людей по районам, конкретным домам и смотреть на их заказы. Бесценная информация для мошенников, которые могут использовать ее в рамках социальной инженерии, представляться сотрудниками «Яндекса» и выманивать те или иные сведения. И это дополнительные риски для компании, от которых защититься можно уже только одним способом — максимально широко рассказать пострадавшим клиентам (а мы именно пострадавшая сторона) о том, что такое возможно. Только комплексный подход тут может защитить клиента от мошенников. Нужно, чтобы люди знали об этой ситуации и понимали, что происходит. Тут можно организовать подробную рассылку, рассказать на своих ресурсах об этом — можно придумать огромное число разных полезных вещей. На мой взгляд, тут имеет смысл делать фокус не только на утечке «Яндекса», но брать все подобные утечки совокупно и объяснять, показывать на примерах, разжевывать все для людей. И это будет полезно для всех, «Яндекс» тут взял бы на себя роль учителя. Подобный подход позволяет нивелировать утечку данных, показать, что компании не все равно и она использует этот повод для того, чтобы защитить всех людей, а не только своих клиентов. В рамках «Яндекса» это ничтожный бюджет, огромная прорва сотрудников PR могла реализовать такой подход в сжатые сроки, все ресурсы для этого внутри есть. Но этого не было сделано, так как «Яндекс» не понимает сути коммуникаций как таковых, пытается все скрыть. Когда компания влетела в неприятности, нужно не закрывать на них глаза и не делать вид, что ничего не произошло, а пытаться активно работать над тем, чтобы такого не было. Но это не путь «Яндекса».

Другим важным моментом становится повторная коммуникация. Например, тот же Тигран Худавердян мог бы написать от своего имени письмо к пользователям, покаяться и объяснить, в чем была проблема и как в «Яндексе» ее исправили. Понимаю, что не барское это дело — общаться с клиентами, но топ-менеджеры «Яндекса» умеют только красиво рассказывать сказки на своих конференциях, которые теперь превратились в огромные рекламные ролики. Проверка жизнью показывает, что общаться с людьми они не могут и не хотят.

Проблема эта для «Яндекса» носит системный характер, так как руководство компании притворяется, что они близки к своим пользователям. В этой игре топ-менеджмент отлично научился не видеть проблем, игнорировать отзывы с рынка, отстроить свою жизнь от происходящего. И это превратилось в умение не слышать и не слушать своих клиентов. Поэтому неудивительно, что «Яндекс» занял такую позицию при данной утечке.

Что нужно было сделать? Через неделю подготовить письмо, в котором изложить несколько важных моментов:

Вместо этого «Яндекс» молчал. И вот появляется публикация в Forbes, там старая утечка подсвечивается одним из сайтов, где можно наглядно увидеть все данные. Причем первоначальные ресурсы, например, тот же Telegram-канал с данными пользователей, недоступны. В «Яндексе» оперативно просили операторов блокировать такие сайты и ресурсы, но не смогли добиться их закрытия со стороны провайдеров, которые находятся вне России. Хотя тут задача не самая архисложная, такие данные блокируются, если есть претензия от юристов компании. Для «Яндекса», который изначально живет в Голландии, это не должно быть затруднительно. Нужно просто захотеть это сделать.

Потерянные данные становятся для «Яндекса» проблемой, и пострадавшие пользователи могут обратиться в суд. Срока давности тут нет, поэтому в ближайший год таких обращений может быть много, и это риск для компании. Как только кто-то победит в суде, а это довольно легко сделать, понесутся табуны пострадавших. Компенсация может составить от 10 до 50 тысяч рублей, тут все зависит от юриста и судьи, который будет рассматривать дело. Учитывая масштаб утечки, потери «Яндекса» будут довольно заметными.

Можно ли избежать этого и сработать на упреждение? Однозначно да. Не занимать позицию страуса, когда вам отвешивают пинки, а взять инициативу в свои руки. В частности, предложить пользователям компенсацию, причем необязательно это будут живые деньги, их как раз не стоит давать. Например, предложить коды компенсаций в качестве подписки на «Яндекс.Плюс». В зависимости от размера заказов такая подписка может быть на 3, 6 или 12 месяцев. Пустячок для «Яндекса», но приятная плюшка для пользователей. Плюс тут можно проработать вопрос того, что, пользуясь компенсацией, человек отказывается от будущих претензий по этой утечке (вопрос к юристам, но сделать такую оферту возможно). И это снимает накал страстей плюс убирает проблемы в будущем.

«Яндекс» — это не только сервис по доставке еды, но и такси, и другие приложения. И на них тоже распространяется негатив от этой утечки, доверие к «Яндексу» падает. Компании необходимо публично заявить, что они провели аудит данных, защитили их. Хорошим тоном будет пригласить, например, компанию Касперского, чтобы они провели независимый аудит и потом так же публично описали его результаты. Это хороший тон, плюс такие действия демонстрируют, что компании не все равно и она действительно серьезно к этому относится.

Но в «Яндексе» менеджменту все равно, утечка не играет никакой роли, это временная неприятность, которую они хотят быстро забыть. Знаете, почему я могу это утверждать? Поиск от «Яндекса» лидирует в России, найти утекшие данные очень легко с помощью… того же «Яндекса»!!! То есть сервис не блокирует свои утекшие данные, да и зачем?

Это первое, что нужно было сделать. Но этого никто не сделал, ибо все равно. И вот это все равно заставляет не верить «Яндексу», так как никаких уроков компания из каждой подобной ситуации не извлекает. Только еще больше замыкается в своем выдуманном мире, где нет проблем и они не достигают ушей топ-менеджмента.

В поддержке отвечают заученными фразами, которые показывают желание забыть проблему.

Да, сегодня сложная ситуация на рынке, у «Яндекса» пожар по многим направлениям. Но эта ситуация с утечкой данных одна из первоочередных, от нее в прямом смысле зависит имидж компании. С другой стороны, как кто-то сказал про «Яндекс», мертвое умереть не может. С имиджем компании тут полный швах, восприятие «Яндекса», несмотря на все хорошее, что компания делает (а такого много), остается во многом негативным. И это то, что нужно было исправлять давным-давно, но никто этого не делал.

Главное, чему нужно научиться «Яндексу», это не жить на выдуманном Олимпе, слышать своих пользователей и считать их достойными ответов и решения проблем. Пока этого нет даже отдаленно, у «Яндекса» все хорошо на словах. На деле это не так, и ворох проблем только усугубляется.

Мы провели опрос в Telegram, и он отлично показал вашу реакцию на утечку. 

Опрос можно найти вот тут

P.S. Про продолжение проблем «Яндекса» мы поговорим позднее в отдельном материале, следите за анонсами на сайте. Первую часть этого материала вы можете найти в ссылках ниже.

[email protected]
наверх