俄罗斯快递应用泄露的数据显示秘密警察的用餐习惯

俄罗斯食品配送服务公司Yandex food的一次大规模数据泄露显示了与俄罗斯秘密警察有关的配送地址、电话号码、姓名和配送说明。

俄罗斯大型互联网公司Yandex的子公司Yandex Food于3月1日首次报告了数据泄漏，将其归咎于一名员工的“不诚实行为”，并指出泄漏不包括用户的登录信息。此后，俄罗斯通信监管机构Roskomnadzor威胁要对该公司处以高达10万卢布（约合1166美元）的罚款路透社他透露了大约58000名用户的信息。Roskomnadzor还阻止了对包含这些数据的在线地图的访问——试图隐藏普通公民以及与俄罗斯军方和安全部门有联系的人的信息。

研究人员在贝灵猫获得信息宝库，筛选任何感兴趣的人的线索，例如与俄罗斯反对派领导人阿列克谢·纳瓦尔尼中毒有关的个人。通过在数据库中搜索作为之前调查的一部分收集的电话号码，贝灵猫发现了与俄罗斯联邦安全局（FSB）联系策划纳瓦尔尼中毒的人的姓名。贝灵猫他说，此人还使用自己的工作电子邮件地址向Yandex Food注册，让研究人员能够进一步确定他的身份。

研究人员还检查了泄露的信息，查找与俄罗斯主要情报局（GRU）或该国外国军事情报局（foreign military Intelligence agency）有关的个人的电话号码。他们找到了其中一名特工叶夫根尼的名字，并将他与俄罗斯外交部联系起来，找到了他的车辆登记信息。

贝灵猫通过搜索数据库中的特定地址，发现了一些有价值的信息。当研究人员寻找位于莫斯科的GRU总部时，他们只发现了四个结果——这可能表明员工不使用送货应用程序，或者选择在步行距离内的餐厅点菜。什么时候贝灵猫然而，在莫斯科郊区搜索FSB的特别行动中心时，却得到了20个结果。一些结果包含有趣的交付说明，警告司机交付地点实际上是一个军事基地。一名用户告诉他们的司机“走到蓝色隔间附近的三个栅栏前打电话。在110路公交车停下来后一直打到终点”，而另一名用户则说“封闭区域。去检查站。在你到达前十分钟打电话给[号码]。”

俄罗斯政界人士、纳瓦尔尼支持者柳波夫·索波尔在一条经过翻译的推文中说，泄露的信息甚至导致了有关俄罗斯总统弗拉基米尔·普京的前情妇及其所谓“秘密”女儿的更多信息。索波尔说：“由于Yandex数据库泄露，普京的前情妇斯维特拉娜·克里沃诺基赫的另一套公寓被找到了”。“这就是他们的女儿路易莎·罗佐娃点餐的地方。这套公寓面积400平方米，价值约1.7亿卢布[约合198万美元]！”

如果研究人员能够根据食品配送应用程序的数据发现这么多信息，那么想想优步、DoorDash、Grubhub和其他应用程序在用户身上的信息量，就有点令人不安了。2019年，DoorDash的一次数据泄露暴露了490万人的姓名、电子邮件地址、电话号码、送货单细节、送货地址，以及经过哈希和盐渍处理的密码——这一数字比Yandex食品泄漏事件中受影响的人数要大得多。