據The Verge報道,根據Bellingcat的調查結果,俄羅斯外賣平台Yandex Food的一次大規模資料洩漏暴露了屬于那些與俄羅斯秘密警察有關的遞送位址、電話号碼、姓名和配送訓示。
Yandex Food是俄羅斯大型網際網路公司Yandex的子公司,于3月1日首次報告了資料洩漏事件,将其歸咎于其一名員工的“不誠實行為”,并指出該洩漏不包括使用者的登入資訊。俄羅斯通信監管機構Roskomnadzor此後威脅要對該公司的洩漏行為處以最高10萬盧布(約合人民币7652元)的罰款,路透社稱該事件暴露了約58000名使用者的資訊。Roskomnadzor還阻止了對包含這些資料的線上地圖的通路--試圖掩蓋普通公民以及與俄羅斯軍隊和安全部門有聯系的人的資訊。
Bellingcat的研究人員獲得了進入資訊庫的機會,在其中篩選出任何感興趣的人的線索,例如與俄羅斯反對派上司人阿列克謝·納瓦爾尼中毒事件有關的個人。通過搜尋資料庫中作為先前調查的一部分而收集的電話号碼,Bellingcat發現了與俄羅斯聯邦安全局(FSB)聯系以策劃納瓦爾尼中毒事件的人的名字。Bellingcat說,這個人還用他的工作電子郵件位址在Yandex Food公司注冊,使研究人員能夠進一步确定他的身份。
研究人員還檢查了洩露的資訊中屬于與俄羅斯軍事情報局(GRU)或該國外國軍事情報機構有關的個人的電話号碼。他們發現了其中一個特工的名字, Yevgeny,并能夠将他與俄羅斯外交部聯系起來,找到他的車輛登記資訊。
Bellingcat通過搜尋資料庫中的具體位址也發現了一些有價值的資訊。當研究人員尋找莫斯科的GRU總部時,他們發現隻有四個結果--這是一個潛在的迹象,表明從業人員不使用外賣應用程式,或選擇從步行距離内的餐館訂購。然而,當Bellingcat搜尋FSB在莫斯科郊區的特别行動中心時,它産生了20個結果。有幾個結果包含有趣的配送訓示,警告司機,送貨地點實際上是一個軍事基地。一位使用者告訴他們的司機:“到藍色亭子附近的三個吊杆障礙物上打電話。在110路公共汽車的站台後上到終點,”而另一個人說 “封閉的領土。上去到檢查站。在你到達前十分鐘撥打(号碼)”!
俄羅斯政治家和納瓦爾尼的支援者柳博夫·索博爾在一條翻譯的推文中說,洩露的資訊甚至導緻了關于俄羅斯總統普京的所謂"秘密"女兒和前情婦的額外資訊。索博爾說:“由于洩露的Yandex資料庫,普京的前情婦斯維特蘭娜·克裡沃諾吉赫的另一個較高價的電梯大廈被發現。那是他們的女兒Luiza Rozova訂餐的地方。該較高價的電梯大廈面積為400平方米,價值約1.7億盧布!”
The Verge指出,如果研究人員能夠根據一個送餐應用程式的資料發現這麼多資訊,那麼想想Uber Eats、DoorDash、Grubhub和其他公司擁有的使用者資訊量,就有點讓人不安。2019年,DoorDash的資料洩露事件暴露了490萬人的姓名、電子郵件位址、電話号碼、外賣訂單詳情、送貨位址等--這個數字比Yandex Food洩露事件中受影響的人要多得多。