Утечки данных сервисов доставки еды: чем опасны и как защититься

В базах сервисов доставки еды обычно нет платежной информации, однако те сведения, которые там есть, тоже могут представлять серьезную проблему в случае утечки. По данным "Лаборатории Касперского", в 2022 году 12% утечек происходило в категории "Рестораны и доставка еды". Из-за них в публичный доступ попали почти 14 млн пользовательских данных. В этой статье мы расскажем, какие угрозы несут утечки для бизнеса и их клиентов, а также о способах предотвратить подобные инциденты.

Какие данные содержатся в утечках

Обычно данные банковских карт не хранятся на стороне сервисов доставки. Даже если при оплате пользователь соглашается привязать карту, оплата происходит на стороне банка. При этом утечки из сервисов доставки еды представляют опасность и порой даже большую, чем утечки из маркетплейсов.

Заказ с маркетплейса, как правило, получают в пункте выдачи или на почте, а заказ еды всегда доставляется по фактическому адресу проживания (или частого присутствия) клиента. В публичный доступ попадают персональные данные, которые позволяют выстроить связь между личностью человека, его номером телефона и физическим адресом, а также получить представление о его достатке и поведенческих паттернах.

Чем утечки сервисов еды грозят клиентам

Если подобные информационные связки про человека оказываются в открытом доступе, есть несколько рисков.

  • Информация о том, где человек живет, сколько тратит на доставку еды, когда он ее заказывает, а какие дни пропускает, может представлять интерес для вора-домушника.
  • Подобные утечки — готовые базы для маркетинговых исследований, позволяющие составить портрет потребителя и присылать ему таргетированный спам на известный email.
  • В базах встречаются не только квартиры, но и офисы. В таких случаях злоумышленники могут применить социальную инженерию, чтобы через клиента сервиса доставки проникнуть во внутреннюю сеть компании.

Чем подобные утечки грозят бизнесу

Для бизнеса утечки — это ситуация порядка форс-мажор, несущая в себе множество рисков.

  • Репутационные. Об утечках быстро становится известно, потому что базы появляются в дарквебе. Сами компании часто стараются сообщить о произошедшем первыми. Но несмотря на открытость, такие инциденты безопасности неизбежно приводят к недоверию со стороны клиентов и партнеров.
  • Регуляторные. Регуляторы могут оштрафовать бизнес за нарушение законодательства в области защиты персональных данных.
  • Материальные. Клиенты все чаще объединяются для подачи коллективных исков в случае утечки их данных, и суды начинают вставать на их сторону.

Что можно предпринять для защиты от утечек

Клиенты сервисов доставки, к сожалению, могут сделать немногое, чтобы защититься от утечек. Важно осознать, что утечки — это неизбежный риск, а значит, этот риск надо оценить и постараться нивелировать его последствия. Например, заказывать доставку товаров в пункты выдачи, а не домой. Также обратите внимание на галочки в интерфейсе — возможно, там можно запретить хранить в базе ваш домашний адрес и телефон.

У бизнеса возможностей больше. В частности, стоит предпринять следующее:

  • ограничивать доступ сотрудников к внутренним базам с персональными данными;
  • периодически проводить аудит систем безопасности;
  • не хранить в базе лишние персональные данные, давать клиентам возможность выбирать, что именно они готовы доверить бизнесу, а что надо удалить сразу по завершении заказа;
  • тщательно следить за происходящим в вашей инфраструктуре при помощи сервисов класса MDR.