Ozon: среди 450 тысяч утёкших аккаунтов только 30 тысяч оказались «живыми»

Роскомнадзор не считает их компрометацию нарушением прав пользователей.

Большинство аккаунтов пользователей Ozon, об утечке которых в начале июля писало РБК, оказались неактивными. Об этом говорится в разъяснениях компании для Роскомнадзора, которые ритейлер также разослал в СМИ.

Журналисты РБК обнаружили базу с адресами электронной почты и паролями 450 тысяч пользователей Ozon. Часть адресов была актуальна, но пароли для входа не подходят, писало издание 10 июля. Ритейлер настаивает, что с его стороны утечки не было, а найденная журналистами база собрана из нескольких утечек с других сервисов.

При проверке данных из файла было обнаружено, что многие аккаунты встречаются в обнаруженных ранее утечках с других сервисов — почта, социальные сети и даже игровые платформы. Это подтвердила проверка аккаунтов через поиск по сайту Leaked Source.

Более 390 тысяч аккаунтов из базы имели регистрацию на Ozon, но регистрация была их единственным действием на площадке. То есть они не сделали ни одного заказа, не имели баллов на пользовательских счетах — это указывает на автоматическую генерацию этих учетных записей.

Ozon

Только 30 тысяч пользователей из базы заходили на сайт Ozon в последние два года и имеют баллы или деньги на пользовательских счетах.

Руководитель службы информационной безопасности Ozon Александр Болотов утверждает, что компания нашла файл "[450k] Ozon.ru.txt", на который ссылается РБК, ещё в конце 2018 года. После проверки базы компания сбросила пароли для всех аккаунтов из списка, предупредив об этом их владельцев.

Ритейлер не скрывал от пользователей информацию об инциденте, настаивает Болотов.

Регулярный мониторинг сайтов, где могут появиться украденные у пользователей или сервисов данные — стандартный протокол безопасности для нашей компании.

Люди очень часто используют одни и те же данные при регистрации на разных сервисах, поэтому мы проверяем любую найденную базу на наличие в ней аккаунтов пользователей Ozon, сбрасываем пароли и оперативно сообщаем пользователям о том, что их данные были скомпрометированы.

Александр Болотов, руководитель службы информбезопасности Ozon

Роскомнадзор по итогам проверки не обнаружил нарушения прав пользователей Ozon, цитирует представителя ведомства «Интерфакс».

Поскольку потока обращений клиентов Ozon в уполномоченный орган мы не зафиксировали, Роскомнадзор считает, что факт компрометации 30 тысяч клиентских аккаунтов не привёл к фактическому нарушению прав субъектов персональных данных.

Роскомнадзор

Роскомнадзор счёл убедительными аргументы Ozon, что оказавшаяся в открытом доступе база была собрана неизвестными из различных источников. По версии ведомства, более 90% скомпрометированных данных являются результатом автогенерации паролей.

1010
50 комментариев

«У нас украли только 30 тысяч учёток , все окнорм»
Вот идиоты то 🤦🏻‍♂️🤦🏻‍♂️🤦🏻‍♂️

39

Аккаунты были получены в результате утечек с других сервисов или хакерских атак на гаджеты самих пользователей. У Ozon утечек не было, и наши пользователи не пострадали — пароли служба безопасности оперативно сбросила, пользователей оповестили.

11

только 30 тысячне привёл к фактическому нарушению прав субъектов персональных данных.

24

Не привел, потому что все пароли оперативно сбросили, всех пользователей оповестили — никто не пострадал

5

"Поскольку потока обращений клиентов Ozon в уполномоченный орган мы не зафиксировали, Роскомнадзор считает, что факт компрометации 30 тысяч клиентских аккаунтов не привёл к фактическому нарушению прав субъектов персональных данных."

- Когда убьют вас, тогда и приходите

16

Читайте: пароли были уже сброшены ранее.

2

Только вот люди часто используют одни и теже пароли везде. Конечно сами дураки, но приуменьшать масштаб возможного ущерба тоже хреново

14