Ozon.ru перестал присылать старые пароли пользователям в открытом виде Статьи редакции
Пользователи впервые заметили эту проблему в 2012 году.
Онлайн-ритейлер Ozon.ru прекратил присылать старые пароли пользователям в открытом виде. Об этом со ссылкой на слова техдиректора компании Анатолия Орлова пишет TJ.
Орлов рассказал о новой системе хранения паролей в ответ на комментарий одного из пользователей «Хабра». По словам Орлова, он попросил исправить проблему с паролями в апреле 2018 года, когда приступил к работе в Ozon.ru.
Сейчас ветка с этими комментариями удалена: возможно, из-за мата, который нарушает правила «Хабра». Представитель компании сообщила, что слова Орлова на скриншоте вырваны из контекста.
Редактор TJ попробовал восстановить пароль от Ozon.ru и получил ссылку на сброс пароля. С 2012 года пользователи «Хабра» и «Пикабу» жаловались, что ответ на попытку восстановить пароль Ozon.ru присылал старый пароль в незашифрованном виде.
Обновлено: Анатолий Орлов уточнил, что речь в комментариях шла только о передаче, а не о хранении паролей.
На «Хабре» обсуждалось следующее: как Ozon раньше отправлял (а не хранил) пользователям пароли при их сбросе. Так вот раньше, если пользователь восстанавливал пароль с привязанной к аккаунту почты, Ozon ему этот пароль присылал ответным письмом. При этом если пароль не восстанавливали, а пользователь регистрировался или менял пароль сам, то Ozon ему ничего не высылал, естественно.
При этом в базе пароли хранились в кодированном виде. Не в открытом доступе Excel-табличке, а в виде кода. Это означает, что получить эти пароли мог — да и то теоретически — сотрудник компании, у которого был доступ в базу и ключ кодирования. Отслеживание поведения таких сотрудников с доступами — это отдельная история, не будем вдаваться в подробности, чтобы никого не провоцировать.
В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Сами понимаете, интернет-мошенники все изобретательнее, а пользователей у компании все больше. Сейчас все пароли пользователей хранятся в хэшированном виде (aka «закодированные необратимым образом») — от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно. Лучше всего оберегаются те секреты, которые ты сам не знаешь.
Просто невероятно! 6+ лет, сотни новых ГОшников и офис в Москва-сити понадобились чтобы избавиться от стандартной ошибки начинающего веб-разработчика!
Что следующее в ростере задач? Валидация входящих строк? Вырезание из входящих данный SQL-запросов?
" 20лет писались в постель, а вот сейчас научились не писаться "
Кажется, из коммента их техлида на хабре )
Прекратил присылать != прекратил хранить ;-)
Комментарий удален модератором
Не равно же)
Анатоликc наведет там порядок, я даже и не сомневаюсь.
настолько какой отвратный магазин такой технологически и отсталый сервис
настолько кривонаписанный комментарий какой лайк еле смог так поставить лайк писал уже я да привет буковы сложно очень писать лучше простите минусуйте
Спасибо за пуш, знаю теперь где покупать
(в Перекрёстке)
Надо уважать традиции старпёров))))
Новость
Как то взломали мой акк в Озоне и заказали разного Коэльо в Воронеж. Отменил заказ, поменял пароли. Опять взломали, опять заказали. Раза после третьего помогло, после общения со службой поддержки)
А точно ли вы ни по каким там ссылкам не из каких там писем не переходили?)
Да, лучше поздно, чем никогда!
А 2fa планируют?
уже работает аутентификация по номеру телефона
Domru (Интернет провайдер), до сих пор присылает пароли в открытом виде на почту и телефон. Хотя бы новый бы генерировали и в открытом присылали, хоть немного лучше было бы
я знаю провайдеров, чьи тётеньки в окошке узнают пароли по телефону, а тебе отдают записанными от руки на бумажке.