​​Простите, мы не уберегли часть данных о ваших заказах – такие письма получили 1 марта некоторые клиенты Яндекс.Еды. Во вторник в официальном пресс-релизе компания сообщила об утечке клиентских данных барабанная дробь по вине недобросовестного сотрудника. Известно, что инсайдер слил в открытый доступ архив, содержащий 50 миллионов строк, среди них: имена пользователей, телефонные номера клиентов из РФ, Беларуси и Казахстана, а также адреса, комментарии и даты заказов. При этом компания заверила, что утечка не коснулась платежных и регистрационных данных клиентов, а защиту уже усилили: отменили ручную обработку ПДн и в три раза сократили доступы сотрудников. Говорят, теперь никто не узнает, что заказываете пиццу на ночь – сведения о заказах защитят так же, как пароли и данные карт. Больше того, компания обещает препринять все усилия, чтобы информация о юзерах не распространялась по вебу. Примечательно, что это не первая история, когда Яндекс публично выходит с повинной головой: в прошлом году компания обнаружила сисадмина, который скомпрометировал 4,8 тыс. почтовых ящиков пользователей. Тогда ИТ-гигант тоже сделал заявление об утечке, не дожидаясь журналистов, а еще оповестил пострадавших и снабдил их инструкциями, как защититься. Больше того: инсайдеру тогда тоже грозили судом. На безрадостном фоне эта новость выглядит если не позитивно (утечка клиентских данных – всегда неприятно и потенциально опасно; например, мы не знаем, утекли ли данные об адресах доставки), то обнадеживающе: в Яндексе и его сервисах действительно умеют работать с последствиями инцидентов ИБ. Выявили слив, провели расследование, нашли виновных, предупредили клиентов и усилили ИБ – Яндекс молодцы, будьте, как Яндекс. Правда, еще бы лучше, если бы где-то на подлете об избыточных доступах к клиентским данным предупредил какой-нибудь DCAP, а о недобрых намерениях инсайдера – профайлинг, но это была бы уже другая история 😅