Une app de livraison russe fait fuiter des données sensibles

La fuite de l’application de livraison russe Yandex Eat a révélé des informations confidentielles sur des membres du renseignement russe.

Des proches du Kremlin trahis par une poignée de sushis. La société de livraison Yandex Eat a signalé un « leak » le 1er mars dernier suite au piratage d’un employé de l’entreprise. La fuite a mené à la mise en ligne des données de 58.000 utilisateurs révélant leurs noms, adresses, numéros de téléphone et instructions de livraison.

L'histoire aurait pu s’arrêter là. C’était sans compter l’enquête des journalistes de Bellingcat qui ont examiné les données et les ont recoupés à d’autres recherches qu’ils menaient en amont. Ils ont révélé que parmi les utilisateurs concernés figurent des agents des services de sécurité et de l’armée russe qui pour certains : « ont même commandé de la nourriture sur leur lieu de travail en utilisant leurs adresses e-mail officielles. »

Ce n’est pas tout. La présumée « fille secrète » de Vladimir Poutine ainsi que son ex-maîtresse figurent parmi les utilisateurs dont les informations ont fuité. « Grâce à la base de données fusionnée Yandex, un autre appartement de l'ex-amante de Poutine, Svetlana Krivonogikh, a été trouvé. C'est là que leur fille Luiza Rozova a commandé de la nourriture. Un appartement de 400 m² coûte environ 170 millions de roubles (1,7 millions d’euros ndlr) ! », a twitté l’opposante politique Lyobov Sobol.

Des données utiles

L'une des adresses recherchées par Bellingcat est Dorozhnaya Street 56 à Moscou. Elle correspond à une installation « liée à la Garde nationale russe (Rosgvardia), qui a participé activement à l'invasion de l'Ukraine », indiquent les journalistes d’investigation. Les données menaient également à la direction générale de renseignement russe (GRU), au Centre d’Opération Spéciale du Service fédéral de sécurité de la fédération de Russie (FSB), ou encore à un individu proche du FSB possiblement lié à l’empoisonnement de l’opposant à Vladimir Poutine, Alexeï Navalny.

Dans ce dernier cas, « nous n'avons pas été en mesure d'identifier le propriétaire de ce numéro de téléphone jusqu'à ce qu'il soit recherché dans la fuite Yandex.Food, révélant ainsi le nom de cette personne qui a fréquemment parlé avec les agents du FSB qui planifiaient l'empoisonnement de Navalny. », écrit Bellingcat.

Si certains lieux étaient bien connus des journalistes, les données ont aussi permis de se renseigner sur de nouvelles installations potentiellement intéressantes. Une dizaine de résultats avertissaient que les repas seraient livrés sur une base militaire et devaient donc être déposés à un point de contrôle et « dans certains cas, l'utilisateur note le numéro d'unité militaire spécifique dans les instructions. »

L’ironie de l’histoire est que depuis 2016, date de l’adoption en Russie des « lois Yarovaya », les opérateurs de télécommunications doivent conserver les données de leurs clients afin de les délivrer aux services de sécurité russes.