Согласно выводам Bellingcat, массовая утечка данных из российского сервиса доставки еды Yandex Food выявила адреса доставки, номера телефонов, имена и инструкции по доставке, принадлежащие лицам, связанным с российской тайной полицией.
Yandex Food, дочерняя компания крупной российской интернет-компании Яндекс, впервые сообщила об утечке данных 1 марта, обвинив в этом “нечестные действия” одного из своих сотрудников и отметив, что утечка не включает регистрационную информацию пользователей. Российский регулятор связи Роскомнадзор с тех пор пригрозил оштрафовать компанию на сумму до 100 000 рублей (~ 1166 долларов США) за утечку, которая, по словам Reuters, раскрыла информацию о 58 000 пользователях. Роскомнадзор также заблокировал доступ к онлайн—карте, содержащей данные, — попытка скрыть информацию обычных граждан, а также тех, кто связан с российскими военными и спецслужбами.
Bellingcat использовала эти данные для идентификации человека, связанного с отравлением Алексея Навального
Исследователи Bellingcat получили доступ к огромному объему информации, просматривая ее в поисках зацепок на любых интересующих людей, таких как человек, связанный с отравлением российского оппозиционера Алексея Навального. Выполнив поиск в базе данных телефонных номеров, собранных в рамках предыдущего расследования, Bellingcat раскрыла имя человека, который контактировал с Федеральной службой безопасности России (ФСБ), чтобы спланировать отравление Навального. Bellingcat сообщает, что этот человек также использовал свой рабочий адрес электронной почты для регистрации в Yandex Food, что позволило исследователям дополнительно установить его личность.
Исследователи также изучили утечку информации на предмет телефонных номеров, принадлежащих лицам, связанным с Главным разведывательным управлением России (ГРУ) или агентством внешней военной разведки страны. Они нашли имя одного из этих агентов, Евгения, и смогли связать его с Министерством иностранных дел России и найти регистрационную информацию о его транспортном средстве.
Bellingcat также обнаружил некоторую ценную информацию, выполнив поиск в базе данных по конкретным адресам. Когда исследователи искали штаб—квартиру ГРУ в Москве, они обнаружили всего четыре результата — потенциальный признак того, что сотрудники просто не используют приложение для доставки или предпочитают вместо этого делать заказы в ресторанах, расположенных в нескольких минутах ходьбы. Однако, когда Bellingcat искал Центр специальных операций ФСБ в пригороде Москвы, это дало 20 результатов. Несколько результатов содержали интересные инструкции по доставке, предупреждающие водителей о том, что местом доставки на самом деле является военная база. Один пользователь сказал своему водителю: “Подойдите к трем шлагбаумам возле синей будки и позвоните. После остановки автобуса 110 до конца”, в то время как другой сказал: “Закрытая территория. Поднимитесь к контрольно-пропускному пункту. Позвоните по [номеру] за десять минут до вашего приезда!”
Благодаря слитой базе «Яндекса» нашлась ещё одна квартира экс-любовницы Путина Светланы Кривоногих. Именно туда их дочь Луиза Розова заказывала еду. Квартира 400 м2, стоит примерно 170 млн рублей!https://t.co/z3uGKOdQhc pic.twitter.com/tOGXOsFmRY
— Соболь Любовь (@SobolLubov) 23 марта 2022
В переведенном твите российский политик и сторонница Навального Любовь Соболь заявила, что утечка информации даже привела к дополнительной информации о бывшей любовнице президента России Владимира Путина и их предполагаемой “тайной” дочери. “Благодаря утечке базы данных Яндекса была найдена еще одна квартира бывшей любовницы Путина Светланы Кривоногих”, — сказал Соболь. “Именно там их дочь Луиза Розова заказывала себе еду. Квартира площадью 400 м2, стоимостью около 170 миллионов рублей [~1,98 миллиона долларов США]!”
Если исследователи смогли раскрыть столько информации на основе данных из приложения для доставки еды, немного нервирует мысль о количестве информации, которую Uber Eats, DoorDash, Grubhub и другие имеют о пользователях. В 2019 году утечка данных DoorDash раскрыла имена, адреса электронной почты, номера телефонов, детали заказа на доставку, адреса доставки и хэшированные, зашифрованные пароли 4,9 миллионов человек — гораздо большее число, чем те, кто пострадал в результате утечки Яндекс Еды.