“ВкусВилл” признал утечку пользовательских данных

Вчера ТГ-канал “Утечки информации” сообщил об утечке персональных данных пользователей покупателей ВкусВилла. Говорилось, что данные обнародованы хакерами, которые уже публиковали утечки Tele2, Почты России, GeekBrains, Delivery Club. Были слиты телефоны, имейлы, дата и время заказа, последние 4 цифры карты, сумма заказа. Хорошей новостью было то, что опубликовали данные по заказам одного дня – 6 декабря. ВкусВилл подтвердил утечку данных вечером 9 декабря – признаёт, расследует, предотвратил дальнейшее

 

Исходная новость

Источник, который уже “сливал” данные участников программы лояльности Tele2, Почты России, образовательного портала GeekBrains, службы доставки Delivery Club, и многих других, выложил в свободный доступ данные заказов предположительно онлайн-магазина vkusvill.ru.

В нескольких файлах содержится:

🌵 телефон (242,245 уникальных номеров)
🌵 адрес эл. почты (233,194 уникальных адреса)
🌵 дата и время заказа, оплаты, доставки (c 05.12.2022 по 07.12.2022)
🌵 последние 4 цифры банковской карты
🌵 сумма заказа

Подавляющее большинство заказов датируются 06.12.2022. 😎

 

ВкусВилл подтвердил утечку данных вечером 9 декабря (подробности от Forbes)

Об утечке мы узнали в ночь с 8 на 9 декабря 2022 года. Наши специалисты самостоятельно обнаружили и оперативно приняли меры для исправления ситуации. Внимательно изучив ситуацию, мы поняли, что к третьим лицам попали файлы, содержащие публичные данные некоторых наших покупателей, а именно: телефоны и имейлы, даты и суммы заказов и последние четыре цифры номера банковской карты

 

В заявлении подчеркивается, что «никаких угрожающих персональной безопасности данных не попало ни в чьи руки». В сохранности остались, в частности, имена, адреса и полные платежные сведения о банковских картах клиентов «ВкусВилла».

В компании указали, что закрыли уязвимость уже «в первые часы», а утром 9 декабря «сделали все возможное, чтобы обезопасить наши ресурсы». Сейчас «ВкусВилл» продолжает расследование в связи с инцидентом.

Административный кодекс предусматривает штрафы за утечку данных для юридических лиц — от 60 000 до 100 000 рублей, а при повторном правонарушении — до 500 000 рублей. В начале марта крупная утечка персональных данных случилась у сервиса «Яндекс Еда», Роскомнадзор оштрафовал компанию на 60 000 рублей. В начале мая в сети появились данные 30 млн клиентов сети лабораторий «Гемотест». 20 мая стало известно о крупной утечке данных пользователей Delivery Club.

После этого власти решили ужесточить наказание за утечки данных. В октябре Минцифры доработало законопроект об оборотных штрафах за утечки персональных данных. Он предусматривает штраф в 1% и даже 3% от годового оборота, если допустившая утечку компания не уведомит Роскомнадзор об инциденте в течение суток.