據The Verge報道,根據Bellingcat的調查結果,俄羅斯外賣平台Yandex Food的一次大規模數據泄漏暴露了屬於那些與俄羅斯秘密警察有關的遞送地址、電話號碼、姓名和配送指示。
Yandex Food是俄羅斯大型互聯網公司Yandex的子公司,於3月1日首次報告了數據泄漏事件,將其歸咎於其一名員工的“不誠實行為”,並指出該泄漏不包括用戶的登錄信息。俄羅斯通信監管機構Roskomnadzor此後威脅要對該公司的泄漏行為處以最高10萬盧布(約合人民幣7652元)的罰款,路透社稱該事件暴露了約58000名用戶的信息。Roskomnadzor還阻止了對包含這些數據的在線地圖的訪問–試圖掩蓋普通公民以及與俄羅斯軍隊和安全部門有聯繫的人的信息。
Bellingcat的研究人員獲得了進入信息庫的機會,在其中篩選出任何感興趣的人的線索,例如與俄羅斯反對派領導人阿列克謝·納瓦爾尼中毒事件有關的個人。通過搜索數據庫中作為先前調查的一部分而收集的電話號碼,Bellingcat發現了與俄羅斯聯邦安全局(FSB)聯繫以策劃納瓦爾尼中毒事件的人的名字。Bellingcat說,這個人還用他的工作電子郵件地址在Yandex Food公司註冊,使研究人員能夠進一步確定他的身份。
研究人員還檢查了泄露的信息中屬於與俄羅斯軍事情報局(GRU)或該國外國軍事情報機構有關的個人的電話號碼。他們發現了其中一個特工的名字, Yevgeny,並能夠將他與俄羅斯外交部聯繫起來,找到他的車輛登記信息。
Bellingcat通過搜索數據庫中的具體地址也發現了一些有價值的信息。當研究人員尋找莫斯科的GRU總部時,他們發現只有四個結果–這是一個潛在的跡象,表明工作人員不使用外賣應用程序,或選擇從步行距離內的餐館訂購。然而,當Bellingcat搜索FSB在莫斯科郊區的特別行動中心時,它產生了20個結果。有幾個結果包含有趣的配送指示,警告司機,送貨地點實際上是一個軍事基地。一位用戶告訴他們的司機:“到藍色亭子附近的三個吊杆障礙物上打電話。在110路公交車的站台後上到終點,”而另一個人說 “封閉的領土。上去到檢查站。在你到達前十分鐘撥打(號碼)”!
俄羅斯政治家和納瓦爾尼的支持者柳博夫·索博爾在一條翻譯的推文中說,泄露的信息甚至導致了關於俄羅斯總統普京的所謂”秘密”女兒和前情婦的額外信息。索博爾說:“由於泄露的Yandex數據庫,普京的前情婦斯維特蘭娜·克里沃諾吉赫的另一個公寓被發現。那是他們的女兒Luiza Rozova訂餐的地方。該公寓面積為400平方米,價值約1.7億盧布!”
The Verge指出,如果研究人員能夠根據一個送餐應用程序的數據發現這麼多信息,那麼想想Uber Eats、DoorDash、Grubhub和其他公司擁有的用戶信息量,就有點讓人不安。2019年,DoorDash的數據泄露事件暴露了490萬人的姓名、電子郵件地址、電話號碼、外賣訂單詳情、送貨地址等–這個數字比Yandex Food泄露事件中受影響的人要多得多。