Skip to content
Cyber Breaches
Recherche
Menace interneRésolu

Fuite de données clients de Yandex.Eda

Le service de livraison de repas de Yandex, Yandex.Eda, a divulgué les noms, numéros de téléphone, adresses, codes d'interphone et détails de commande de plus de 58 000 clients, ensuite reportés sur un site web public interactif. Le régulateur russe Roskomnadzor a ouvert une procédure et un tribunal de Moscou a infligé à l'entreprise une amende de 60 000 roubles.

Victime
Yandex.Eda
Perte
$700
données
58.0K
utilisateurs
58.0K
SecteurTechnologie
PaysRussie
GroupeInitié malveillant (employé de Yandex.Eda)

Le 1er mars 2022, Yandex.Eda — la branche de livraison de repas du géant russe de l'internet Yandex — a annoncé avoir subi une fuite de données, l'imputant aux « actions malhonnêtes d'un employé ». Quelques semaines plus tard, les informations divulguées ont été publiées sur une carte interactive permettant à quiconque de rechercher les adresses et numéros de téléphone des clients, transformant une fuite interne en une crise de confidentialité très publique.

Ce qui s'est passé

Selon Yandex, un employé disposant d'un accès aux dossiers clients a exfiltré des données de commande et ces informations se sont retrouvées en ligne. Le 22 mars 2022, un site tiers est apparu, reportant les enregistrements divulgués sur une carte de la Russie, exposant les données personnelles de plus de 58 000 clients sous une forme géographique et consultable.

Les champs exposés comprenaient les noms complets, numéros de téléphone, adresses de livraison, codes d'interphone, montants de commande et historique de commandes des clients. Yandex.Eda servant une large clientèle urbaine — incluant, selon les rapports, des personnes liées à des organes de sécurité et gouvernementaux — l'exposition cartographiée et adressable a suscité un examen inhabituel.

Impact

  • Plus de 58 000 clients ont vu leurs données d'identité et de localisation exposées.
  • La présentation des données sous forme de carte consultable a considérablement amplifié le préjudice par rapport à un simple dump de base de données.
  • Une fuite distincte et connexe de données de coursiers — environ 700 000 enregistrements contenant noms, e-mails, numéros de téléphone et mots de passe hachés — est apparue durant la même période.

Réponse

Le régulateur russe des communications Roskomnadzor a restreint l'accès à la carte et ouvert une procédure administrative contre Yandex.Eda pour violation de la loi sur les données personnelles. Le 21 avril 2022, un tribunal de Moscou a infligé à l'entreprise une amende de 60 000 roubles (environ 700 $ à l'époque) pour la fuite concernant les clients ; une amende supplémentaire de 60 000 roubles a suivi en août pour la fuite des données de coursiers. Des dizaines d'utilisateurs concernés ont lancé un recours collectif réclamant des dommages moraux de 100 000 roubles chacun.

Pourquoi c'est important

La fuite de Yandex.Eda est devenue une référence dans le débat sur les sanctions dérisoires que le droit russe attachait alors aux grandes violations de données personnelles : une amende de 60 000 roubles pour l'exposition de dizaines de milliers de personnes a été largement citée comme preuve que les amendes devaient être proportionnées au préjudice. L'affaire — une exfiltration par un initié transformée en outil de cartographie public — a contribué à alimenter les propositions législatives russes ultérieures d'amendes assises sur le chiffre d'affaires pour les fuites de données personnelles, à l'image de l'escalade de type RGPD observée ailleurs.

Impact financier

Coûts déclarés en USD

Perte totale déclarée
700
USD · 700 $US
  • Amendes & règlements$700

Chronologie

  1. Yandex.Eda annonce une fuite de données, l'attribuant aux « actions malhonnêtes d'un employé » qui a publié des numéros de téléphone de clients et des détails de commande.

  2. Une carte interactive en ligne apparaît, situant les noms, numéros de téléphone et adresses de plus de 58 000 clients ; Roskomnadzor en restreint l'accès et ouvre une procédure.

  3. Des dizaines de clients, rejoints par des centaines d'autres requérants, déposent un recours collectif réclamant 100 000 roubles chacun en dommages moraux.

  4. Un tribunal de Moscou inflige à Yandex.Eda une amende de 60 000 roubles pour la fuite des données personnelles des 58 000 clients.

  5. Une décision distincte inflige à Yandex.Eda 60 000 roubles supplémentaires pour la fuite de données de coursiers comportant quelque 700 000 enregistrements.

Sources

  1. reuters.comhttps://www.reuters.com/technology/russian-tech-giant-yandex-lambasted-over-data-leak-regulator-launches-case-2022-03-22/
  2. en.wikipedia.orghttps://en.wikipedia.org/wiki/Yandex_Eda
  3. business-humanrights.orghttps://www.business-humanrights.org/en/latest-news/russia-court-fines-yandexfood-for-leaking-thousands-of-couriers-data-co-for-leaking-personal-data-of-58000-customers/
  4. interfax.comhttps://interfax.com/newsroom/top-stories/81218/

Incidents liés

Menace interneRésolu

Violation interne de la messagerie Yandex

Yandex a révélé que l'un des trois administrateurs disposant d'un accès privilégié à son service de messagerie vendait un accès non autorisé aux boîtes mail des utilisateurs, compromettant 4 887 boîtes avant que l'équipe de sécurité interne ne détecte l'abus lors d'un contrôle de routine.

Victim
Yandex
Records
4.9K
Fuite de donnéesRésolu

Fuite de données Abandonia (2022) (2022)

En novembre 2022, le site de jeux Abandonia, dédié aux jeux DOS classiques, a subi une fuite de données entraînant l'exposition de 920 000 dossiers d'utilisateurs uniques. Cette fuite s'ajoutait à une autre survenue 7 ans plus tôt, en 2015.

Victim
Abandonia (2022)
Records
919.8K