«ВкусВилл» сообщил об утечке персональных данных «нескольких сотен тысяч» своих клиентов. В открытый доступ попали, в частности, их номера телефонов, суммы заказов и последние цифры банковских карт. Telegram-каналы связывают утечку с «источником», который уже сливал данные GeekBrains, Delivery Club и «Почты России»
В сеть утекли персональные данные клиентов «ВкусВилл». Об этом говорится в поступившем Forbes заявлении компании. В пресс-службе уточнили, что речь идет о личной информации «нескольких сотен тысяч пользователей».
«Об утечке мы узнали в ночь с 8 на 9 декабря 2022 года. Наши специалисты самостоятельно обнаружили и оперативно приняли меры для исправления ситуации. Внимательно изучив ситуацию, мы поняли, что к третьим лицам попали файлы, содержащие публичные данные некоторых наших покупателей, а именно: телефоны и имейлы, даты и суммы заказов и последние четыре цифры номера банковской карты», — рассказали во «ВкусВилле».
В заявлении подчеркивается, что «никаких угрожающих персональной безопасности данных не попало ни в чьи руки». В сохранности остались, в частности, имена, адреса и полные платежные сведения о банковских картах клиентов «ВкусВилла».
В компании указали, что закрыли уязвимость уже «в первые часы», а утром 9 декабря «сделали все возможное, чтобы обезопасить наши ресурсы». Сейчас «ВкусВилл» продолжает расследование в связи с инцидентом.
Ранее информация об утечке данных «ВкусВилла» появилась в нескольких профильных Telegram-каналах. Основатель сервиса разведки утечек данных и мониторинга даркнета DLBI Ашот Оганесян в своем канале «Утечки информации» сообщил, что хакеры выложили в открытый доступ 242 245 уникальных телефонных номеров, 233 194 адреса электронной почты, даты и время заказов, оплаты и доставки с 5 по 7 декабря 2022 года, а также суммы заказов и последние цифры номеров банковских карт.
Оганесян отметил, что личные данные клиентов «ВкусВилла» в свободный доступ выложил «источник, который уже сливал данные участников программы лояльности Tele2, «Почты России», образовательного портала GeekBrains, службы доставки Delivery Club и многих других».
Административный кодекс предусматривает штрафы за утечку данных для юридических лиц — от 60 000 до 100 000 рублей, а при повторном правонарушении — до 500 000 рублей. В начале марта крупная утечка персональных данных случилась у сервиса «Яндекс Еда», Роскомнадзор оштрафовал компанию на 60 000 рублей. В начале мая в сети появились данные 30 млн клиентов сети лабораторий «Гемотест». 20 мая стало известно о крупной утечке данных пользователей Delivery Club.
После этого власти решили ужесточить наказание за утечки данных. В октябре Минцифры доработало законопроект об оборотных штрафах за утечки персональных данных. Он предусматривает штраф в 1% и даже 3% от годового оборота, если допустившая утечку компания не уведомит Роскомнадзор об инциденте в течение суток.