Selon les conclusions de Bellingcat.
Yandex Food, une filiale de la plus grande société Internet russe, Yandex, signalé pour la première fois la fuite de données le 1er mars, la blâmant sur les « actions malhonnêtes » de l’un de ses employés et notant que la fuite n’inclut pas les informations de connexion des utilisateurs. Le régulateur russe des communications Roskomnadzor a depuis menacé d’amender l’entreprise jusqu’à 100 000 roubles (~ 1 166 USD) pour la fuite, ce qui Reuter dit exposé les informations d’environ 58 000 utilisateurs. Le Roskomnadzor a également bloqué l’accès à une carte en ligne contenant les données – une tentative de dissimulation des informations des citoyens ordinaires, ainsi que de ceux qui ont des liens avec les services militaires et de sécurité russes.
Des chercheurs de Bellingcat a eu accès à la mine d’informations, en la parcourant à la recherche de pistes sur toute personne d’intérêt, comme une personne liée au empoisonnement du leader de l’opposition russe Alexeï Navalny. En recherchant dans la base de données les numéros de téléphone collectés dans le cadre d’une précédente enquête, Bellingcat a découvert le nom de la personne qui était en contact avec le Service fédéral de sécurité (FSB) de Russie pour planifier l’empoisonnement de Navalny. Bellingcat dit que cette personne a également utilisé son adresse e-mail professionnelle pour s’inscrire auprès de Yandex Food, permettant aux chercheurs de vérifier davantage son identité.
Les chercheurs ont également examiné les informations divulguées sur les numéros de téléphone appartenant à des personnes liées à la Direction principale du renseignement russe (GRU) ou à l’agence de renseignement militaire étrangère du pays. Ils ont trouvé le nom de l’un de ces agents, Yevgeny, et ont pu le relier au ministère russe des Affaires étrangères et trouver les informations d’immatriculation de son véhicule.
Bellingcat découvert des informations précieuses en recherchant également dans la base de données des adresses spécifiques. Lorsque les chercheurs ont recherché le siège du GRU à Moscou, ils n’ont trouvé que quatre résultats – un signe potentiel que les travailleurs n’utilisent tout simplement pas l’application de livraison ou choisissent plutôt de commander dans des restaurants accessibles à pied. Lorsque Bellingcat a recherché le centre d’opérations spéciales du FSB dans une banlieue de Moscou, mais il a donné 20 résultats. Plusieurs résultats contenaient des instructions de livraison intéressantes, avertissant les chauffeurs que le lieu de livraison est en fait une base militaire. Un utilisateur a dit à son chauffeur : « Montez vers les trois barrières de flèche près de la cabine bleue et appelez. Après l’arrêt du bus 110 jusqu’au bout », tandis qu’un autre disait « Territoire fermé. Montez au point de contrôle. Appel [number] dix minutes avant votre arrivée !
Благодаря слитой базе «Яндекса» нашлась ещё одна квартира экс-любовницы Путина Свет Ѕаны Именно туда их дочь Луиза Розова заказывала еду. Квартира 400 м², стоит примерно 170 млн рублей!https://t.co/z3uGKOdQhc pic.twitter.com/toGXOsFmRY
— Соболь Любовь (@SobolLubov) 23 mars 2022
Dans une traduction tweeterpoliticien russe et partisan de Navalny, Lyubov Sobol, a déclaré que les informations divulguées ont même conduit à des informations supplémentaires sur le président russe Vladimir La prétendue fille « secrète » de Poutine et ancienne maîtresse. « Grâce à la fuite de la base de données Yandex, un autre appartement de l’ex-maîtresse de Poutine, Svetlana Krivonogikh, a été retrouvé », a déclaré Sobol. « C’est là que leur fille Luiza Rozova commandait ses repas. L’appartement est de 400 m², d’une valeur d’environ 170 millions de roubles [~$1.98 million USD]! »
Si les chercheurs ont pu découvrir autant d’informations basées sur les données d’une application de livraison de nourriture, il est un peu déconcertant de penser à la quantité d’informations qu’Uber Eats, DoorDash, Grubhub et d’autres ont sur les utilisateurs. En 2019, une violation de données DoorDash a révélé les noms, les adresses e-mail, les numéros de téléphone, les détails des commandes de livraison, les adresses de livraison et les mots de passe hachés et salés de 4,9 millions de personnes – un nombre beaucoup plus important que ceux touchés par la fuite de Yandex Food.