Et massivt datalæk fra den russiske madleveringstjeneste Yandex Food afslørede leveringsadresser, telefonnumre, navne og leveringsinstruktioner tilhørende dem, der er tilknyttet Ruslands hemmelige politi, ifølge resultater fra Bellingcat.
Yandex Food, et datterselskab af den større russiske internetvirksomhed, Yandex, rapporterede første gang datalækket den 1. marts, hvor de skyldte det på en af dets ansattes “uærlige handlinger” og bemærkede, at lækket ikke inkluderer brugernes loginoplysninger. Den russiske kommunikationsregulator Roskomnadzor har siden truet med at bøde virksomheden på op til 100.000 rubler (~1.166 USD) for lækagen, som ifølge Reuters afslørede oplysningerne fra omkring 58.000 brugere. Roskomnadzor blokerede også adgangen til et onlinekort, der indeholdt dataene – et forsøg på at skjule oplysninger fra almindelige borgere såvel som dem med tilknytning til det russiske militær og sikkerhedstjenester.
Bellingcat brugte dataene til at identificere en person med bånd til Alexey Navalnys forgiftning
Forskere ved Bellingcat fik adgang til mængden af information og gennemsøgte den for at finde spor til alle personer af interesse, såsom en person, der er forbundet med forgiftningen af den russiske oppositionsleder Alexey Navalnyj. Ved at søge i databasen efter telefonnumre indsamlet som en del af en tidligere undersøgelse, afslørede Bellingcat navnet på den person, der var i kontakt med Ruslands føderale sikkerhedstjeneste (FSB) for at planlægge Navalnys forgiftning. Bellingcat siger, at denne person også brugte sin arbejds-e-mailadresse til at registrere sig hos Yandex Food, hvilket gjorde det muligt for forskere yderligere at fastslå hans identitet.
Forskere undersøgte også de lækkede oplysninger om telefonnumre, der tilhører personer, der er knyttet til Ruslands hovedefterretningsdirektorat (GRU) eller landets udenlandske militære efterretningsagentur. De fandt navnet på en af disse agenter, Yevgeny, og var i stand til at linke ham til Ruslands udenrigsministerium og finde oplysninger om hans køretøjsregistrering.
Bellingcat afslørede nogle værdifulde oplysninger ved også at søge i databasen efter specifikke adresser. Da forskere ledte efter GRU-hovedkvarteret i Moskva, fandt de kun fire resultater – et potentielt tegn på, at arbejdere bare ikke bruger leveringsappen eller vælger at bestille fra restauranter inden for gåafstand i stedet. Da Bellingcat søgte efter FSB's Special Operation Center i en Moskva-forstad, gav det dog 20 resultater. Flere resultater indeholdt interessante leveringsinstruktioner, der advarede chauffører om, at leveringsstedet faktisk er en militærbase. En bruger sagde til deres chauffør “Gå op til de tre bomme nær den blå kabine og ring. Efter stoppet for bus 110 op til enden,” mens en anden sagde ”Lukket område. Gå op til checkpointet. Ring til [nummer] ti minutter før du ankommer!”
Благодаря слитой базе «Яндекса» нашлась ещё одна квартсира э любовницы Путина Светланы Кривоногих. Именно туда их дочь Луиза Розова заказывала еду. Квартира 400 м², стоит примерно 170 млн рублей!https://t.co/z3uGKOdQhc pic.twitter.com/tOGXOsFmRY
— Соболь Любовь (@SobolLubov) 23. marts 2022
I et oversat tweet sagde den russiske politiker og Navalnyj-tilhænger, Lyubov Sobol, at de lækkede oplysninger endda førte til yderligere oplysninger om den russiske præsident Vladimir Putins påståede “hemmelige” datter og tidligere elskerinde. “Takket være den lækkede Yandex-database blev endnu en lejlighed til Putins eks-elskerinde Svetlana Krivonogikh fundet,” sagde Sobol. “Det var der, deres datter Luiza Rozova bestilte hendes måltider. Lejligheden er på 400 m², til en værdi af omkring 170 millioner rubler [~$1,98 millioner USD]!”
Hvis forskere var i stand til at afdække så meget information baseret på data fra en madleveringsapp, er det lidt nervepirrende at tænke på mængden af information, Uber Eats, DoorDash, Grubhub og andre har om brugerne. I 2019 afslørede et DoorDash-databrud navne, e-mailadresser, telefonnumre, leveringsordredetaljer, leveringsadresser og de hasherede, saltede adgangskoder for 4,9 millioner mennesker – et meget større antal end dem, der blev berørt af Yandex Food-lækagen.