Yandex Food是俄罗斯大型互联网公司Yandex的子公司,于3月1日首次报告了数据泄漏事件,将其归咎于其一名员工的“不诚实行为”,并指出该泄漏不包括用户的登录信息。俄罗斯通信监管机构Roskomnadzor此后威胁要对该公司的泄漏行为处以最高10万卢布(约合人民币7652元)的罚款,路透社称该事件暴露了约58000名用户的信息。Roskomnadzor还阻止了对包含这些数据的在线地图的访问--试图掩盖普通公民以及与俄罗斯军队和安全部门有联系的人的信息。
Bellingcat的研究人员获得了进入信息库的机会,在其中筛选出任何感兴趣的人的线索,例如与俄罗斯反对派领导人阿列克谢·纳瓦尔尼中毒事件有关的个人。通过搜索数据库中作为先前调查的一部分而收集的电话号码,Bellingcat发现了与俄罗斯联邦安全局(FSB)联系以策划纳瓦尔尼中毒事件的人的名字。Bellingcat说,这个人还用他的工作电子邮件地址在Yandex Food公司注册,使研究人员能够进一步确定他的身份。
研究人员还检查了泄露的信息中属于与俄罗斯军事情报局(GRU)或该国外国军事情报机构有关的个人的电话号码。他们发现了其中一个特工的名字, Yevgeny,并能够将他与俄罗斯外交部联系起来,找到他的车辆登记信息。
Bellingcat通过搜索数据库中的具体地址也发现了一些有价值的信息。当研究人员寻找莫斯科的GRU总部时,他们发现只有四个结果--这是一个潜在的迹象,表明工作人员不使用外卖应用程序,或选择从步行距离内的餐馆订购。然而,当Bellingcat搜索FSB在莫斯科郊区的特别行动中心时,它产生了20个结果。有几个结果包含有趣的配送指示,警告司机,送货地点实际上是一个军事基地。一位用户告诉他们的司机:“到蓝色亭子附近的三个吊杆障碍物上打电话。在110路公交车的站台后上到终点,”而另一个人说 “封闭的领土。上去到检查站。在你到达前十分钟拨打(号码)”!
俄罗斯政治家和纳瓦尔尼的支持者柳博夫·索博尔在一条翻译的推文中说,泄露的信息甚至导致了关于俄罗斯总统普京的所谓"秘密"女儿和前情妇的额外信息。索博尔说:“由于泄露的Yandex数据库,普京的前情妇斯维特兰娜·克里沃诺吉赫的另一个公寓被发现。那是他们的女儿Luiza Rozova订餐的地方。该公寓面积为400平方米,价值约1.7亿卢布!”
The Verge指出,如果研究人员能够根据一个送餐应用程序的数据发现这么多信息,那么想想Uber Eats、DoorDash、Grubhub和其他公司拥有的用户信息量,就有点让人不安。2019年,DoorDash的数据泄露事件暴露了490万人的姓名、电子邮件地址、电话号码、外卖订单详情、送货地址等--这个数字比Yandex Food泄露事件中受影响的人要多得多。