Ozon.ru перестал присылать старые пароли пользователям в открытом виде

Пользователи впервые заметили эту проблему в 2012 году.

Онлайн-ритейлер Ozon.ru прекратил присылать старые пароли пользователям в открытом виде. Об этом со ссылкой на слова техдиректора компании Анатолия Орлова пишет TJ.

Орлов рассказал о новой системе хранения паролей в ответ на комментарий одного из пользователей «Хабра». По словам Орлова, он попросил исправить проблему с паролями в апреле 2018 года, когда приступил к работе в Ozon.ru.

Ветка <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fhabr.com%2Fcompany%2Fozontech%2Fblog%2F434158%2F%23comment_19543164&postId=54419" rel="nofollow noopener" target="_blank">находилась</a> в комментариях под материалом об Ozon.ru <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Ft.me%2Fg33ks%2F514&postId=54419" rel="nofollow noopener" target="_blank">Скриншот</a> Telegram-канала G33ks
Ветка находилась в комментариях под материалом об Ozon.ru Скриншот Telegram-канала G33ks

Сейчас ветка с этими комментариями удалена: возможно, из-за мата, который нарушает правила «Хабра». Представитель компании сообщила, что слова Орлова на скриншоте вырваны из контекста.

Редактор TJ попробовал восстановить пароль от Ozon.ru и получил ссылку на сброс пароля. С 2012 года пользователи «Хабра» и «Пикабу» жаловались, что ответ на попытку восстановить пароль Ozon.ru присылал старый пароль в незашифрованном виде.

Обновлено: Анатолий Орлов уточнил, что речь в комментариях шла только о передаче, а не о хранении паролей.

На «Хабре» обсуждалось следующее: как Ozon раньше отправлял (а не хранил) пользователям пароли при их сбросе. Так вот раньше, если пользователь восстанавливал пароль с привязанной к аккаунту почты, Ozon ему этот пароль присылал ответным письмом. При этом если пароль не восстанавливали, а пользователь регистрировался или менял пароль сам, то Ozon ему ничего не высылал, естественно.

При этом в базе пароли хранились в кодированном виде. Не в открытом доступе Excel-табличке, а в виде кода. Это означает, что получить эти пароли мог — да и то теоретически — сотрудник компании, у которого был доступ в базу и ключ кодирования. Отслеживание поведения таких сотрудников с доступами — это отдельная история, не будем вдаваться в подробности, чтобы никого не провоцировать.

В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Сами понимаете, интернет-мошенники все изобретательнее, а пользователей у компании все больше. Сейчас все пароли пользователей хранятся в хэшированном виде (aka «закодированные необратимым образом») — от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно. Лучше всего оберегаются те секреты, которые ты сам не знаешь.

Анатолий Орлов, техдиреткор Ozon.ru
1414
58 комментариев

Просто невероятно! 6+ лет, сотни новых ГОшников и офис в Москва-сити понадобились чтобы избавиться от стандартной ошибки начинающего веб-разработчика!

14

Что следующее в ростере задач? Валидация входящих строк? Вырезание из входящих данный SQL-запросов?

7

" 20лет писались в постель, а вот сейчас научились не писаться "

1

Кажется, из коммента их техлида на хабре )

1

Прекратил присылать != прекратил хранить ;-)

12

Комментарий удалён модератором