Торговля Albert Khabibrakhimov
8559

РБК сообщил об утечке логинов и паролей 450 тысяч пользователей Ozon — ритейлер утверждает, что пострадавших меньше

В компании уверяют, что в базе лишь несколько процентов пользователей Ozon и служба безопасности сбросила их пароли ещё в 2018 году.

В закладки
Аудио

Данные 450 тысяч пользователей интернет-магазина Ozon были опубликованы на одном из сайтов, собирающих утечки данных. Об этом пишет РБК, нашедшее базу.

База включает адреса электронной почты и пароли для входа в Ozon. Журналисты РБК проверили около сотни случайных адресов и выяснили, что они по-прежнему актуальны. Однако пароли для входа уже не подходят.

Представитель Ozon сообщил vc.ru, что эта база «ходит» по сети с 2018 года и компания проверяла данные из неё — они неактуальны. В Ozon предположили, что данные попали в сеть, потому что пользователи использовали одни и те же пароли на разных сайтах или подверглись взлому.

Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учётных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании.

пресс-служба Ozon

Эксперт неназванной компании в сфере кибербезопасности рассказал РБК, что утечка могла произойти ещё полгода назад. По его словам, база состоит из двух других баз данных, опубликованных на одном из хакерских форумов в ноябре 2018 года. Ozon ранее официально не сообщал об утечках или взломах.

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий считает, что данные могли попасть в сеть по трём причинам: базу опубликовал кто-то из сотрудников Ozon, её похитили хакеры, проникшие в систему ритейлера, либо проблема в неправильно настроенном сервере. Также Лукацкий не исключил, что в момент утечки данные могли храниться в незашифрованном виде.

Если бы пароли были зашифрованы, то маловероятно, что кто-то смог бы их дешифровать и выложить в открытом виде. Если данная база не является фейком, то приходится признать, что хранились пароли в открытом виде. К сожалению, это является распространенной практикой.

Алексей Лукацкий
консультант по информационной безопасности Cisco Systems

В декабре 2018 года технический директор Ozon Анатолий Орлов рассказал на «Хабре», что компания перестала присылать пользователям пароли в незашифрованном виде при восстановлении аккаунта. Пользователи жаловались на эту проблему как минимум с 2012 года.

Обновлено в 23:00. Среди 450 тысяч адресов и паролей, найденных РБК, лишь несколько процентов принадлежат пользователям Ozon, сообщил vc.ru представитель ритейлера. Точное количество пользователей он назвать отказался.

Эксперты, с которыми связались журналисты, утверждают, что потенциально все аккаунты могут принадлежать нашим клиентам — но только потому, что у Ozon больше 30 млн пользователей.

При этом большая часть из обнаруженных аккаунтов - неактивные, то есть они не использовались долгое время.

пресс-служба Ozon

На ситуацию отреагировал Роскомнадзор, в ведомстве заявили, что запросят у Ozon разъяснения.

Тот факт, что Ozon своевременно не предупредил о возникшей опасности, ставит под угрозу безопасность всех пользователей интернет-магазина.

Роскомнадзор
цитата по ТАСС

#новость #ozon #утечкиданных

{ "author_name": "Albert Khabibrakhimov", "author_type": "editor", "tags": ["\u0443\u0442\u0435\u0447\u043a\u0438\u0434\u0430\u043d\u043d\u044b\u0445","\u043d\u043e\u0432\u043e\u0441\u0442\u044c","\u043d\u043e\u0432\u043e\u0441\u0442\u0438","ozon"], "comments": 84, "likes": 41, "favorites": 8, "is_advertisement": false, "subsite_label": "trade", "id": 74836, "is_wide": false, "is_ugc": false, "date": "Wed, 10 Jul 2019 19:07:48 +0300" }
{"average":26034,"one":95,"ten":75}
Сколько денег вы откладываете в месяц?
Ответьте и узнаете, сколько копят другие.
0 ₽
70 000+ ₽
0 ₽
{ "id": 74836, "author_id": 53259, "diff_limit": 1000, "urls": {"diff":"\/comments\/74836\/get","add":"\/comments\/74836\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/74836"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199122, "last_count_and_date": null }
84 комментария

Популярные

По порядку

Написать комментарий...
42

Добавьте, пожалуйста, ссылку на базу.

Ответить
30

Представитель Ozon сообщил vc.ru, что эта база «ходит» по сети уже давно и компания проверяла данные из неё — они неактуальны

То есть про утечку знали, но умолчали. Надо бы наказывать за такое, как в Европе и США. Например Убер оштрафовали на 148 миллионов долларов за сокрытие утечки 600 тысяч водителей.

Ответить
0

Там есть законы, которые предписывают сообщать об этом. На первые разы — большие штрафы, а дальше — закрытие бизнеса.

Ответить
0

Расскажите это фейсбуку и прочим

Ответить
1

Что им рассказывать? Я вам расскажу, что FB был оштрафован Британией на $0.7 млн за передачу данных о пользователях без их согласия (не взлом) другой компании. США собираются впаять за это же $5 млрд. British Airways оштрафовали (Британия) на $230 млн за взлом и его сокрытие.

Ответить
0

Пару часов назад Фейсбук окончательно получил штраф =)
Цифры конечно поражают.

Ответить
23

Конечно же это не из-за того, что Озон до недавнего времени хранил пароли в открытом виде)

Ответить
9

Прислали ссылку на смену пароля, я перехожу, а там баг - пишет, пароль нельзя изменить... Я им написал, ещё пару писем туда-сюда, прислали пароль в открытом виде. Ну я даже не знаю!
Не похоже, что хранил, скорее хранит)), и очень не похоже на принудительную смену пароля.

Ответить
7

Кто то недавно писал, что в штате озона 500 или 600 разработчиков..
КТО ИХ ТАК НАЗВАЛ?

Ответить
–2

Наверное ет фрилансеры, а вы читали кто на фрилансе сидит? Блогер, дизайнер, разработчик, фотограф, и зачастую он же ди-джей и тамада в одном лице... смог на телефоне сфоткать - значит фотограф, и все в таком духе...

Ответить
1

хорошо не прав, скиньте пожалуйста ссылку на хорошего дизайнера на фрилансе, наболело уже...

Ответить
0

наверное занят как я(?

Ответить
2

Вы, похоже, не сильно заняты )

Ответить
0

Шел спать. Прошел мимо :( сайт с кучей ошибок

Ответить
0

еще над статью читал мерикосскую 8 принципов веб-дизайна, которые нужно знать в 2019 году

Ответить
0

ну конечно фрилансеры гораздо лучше, еще раз сори, всего штук 20 ошибок обнаружилось, еще постоянно один скрипт с весьма странным содержимым ошибку выдает...

Ответить
1

Может вы тогда нам покажете свое портфолио, раз так оху@нно знаете javascript?))

Ответить
0

неа... защита персональных данных

Ответить
0

Увидел только 4 ошибки. И то, скорее всего, 3 из них связаны с попыткой достучаться до deprecated методов на сервере. А вы, судя по The Bat, в сто раз лучше на пхп напишите?

Ответить
0

включая дизайнерские и css

Ответить
0

я про 2 в консоли (а их всего 2, просто информация дублируется) и 1 в верстке (при условии, что вас не подвел инет, не догрузив стили или js)
Попытался сейчас воспроизвести: в консоли только предупреждение о том, что неправильно подключили плагин для Vue (скорее всего на функционал никак не влияет). 503 ошибку не увидел.
Если что, я не работник озона :)

Ответить
0

консоль выдает только очевидные недочеты, есть еще упущения более глобальные... которые, правда имеют значение только для подобных ресурсов... и требуют другой уровень мышления.

Ответить
19

"Такой пароль уже использует пользователь Misha. Пожалуйста, придумайте другой пароль."

Ответить
6

пользователь Misha@mail.ru

пофиксил

Ответить
18

- сбербанк задумался о покупке авито или озон
- дочка сбербанка выходит на рынок услуг кибербезопасности
- пароли озона оказались в открытом доступе
- .??
- сбербанк покупает озон =)

Ответить
0

И ни у кого не возникнет вопросов почему так дёшево)

Ответить
0

Президент ещё с трибуны скажет "осуждаю озон за такое..." и всё, тогда точно дешёво будет.

Ответить
0

Прочел "осуждаю ООН"

Ответить
9

Тоже новость. Я сколько раз писал им.у них есть баги, можно даже сразу по балансу найти аккаунты. И что ? Ответа ноль. Значит никому Не нужно.

Ответить
7

Журналисты РБК проверили около сотни случайных адресов и выяснили, что они по-прежнему актуальны. Однако пароли для входа уже не подходят.

Я один не понял, что сделали и чего добились журналисты рбк? Что значит "актуальны но пароли не подходят"?

Ответить
0

Адреса актуальны, а пароли нет.

Ответить
0

А как они это выяснили? Я ввёл выдуманную почту и пароль и мне выдало: неверная почта или пароль. Далее, ввёл свою почту и выдуманный пароль - тоже самое.

Журналисты такие журналисты :)

Ответить
–1

Если попытаться отправить письмо на несуществующий e-mail, то вылезет ошибка.

Ответить
0

Т.е. журналисты пробовали через восстановление пароля?

Ответить
2

через восстановление тоже не то

Ответить
0

Т.е. журналисты отправили пустые письма на какие-то из ящиков и возможно, кто-то им даже ответил. Мне кажется так.

Ответить
0

Ну тогда совсем не логично. Они же проверяли базу юзеров Озона, а не почтовую базу. Должна совпасть пара логин/пароль.

Ответить
2

Тю, то есть утечка только адреса утечкой не считается?

Ответить
0

Конечно считается, согласен с вами.

Ответить
5

Почему Габен меня регулярно просит подтверждать мой ПК (динамический айпи), а русские убийцы Амазонов и прочие не могут реализовать двухфакторную аутентификацию при логине с нового устройства? Кому в 2019 не очевидно, что пользователь мог использовать тот же пароль на каком-нибудь из сотен сайтов, что он посещал за свое время в интернете? Этот вопрос легко решается авторизацией нового устройства, но легче, конечно, сказать, что мы заботимся о пользователях, а они такие-сякие, и вообще, у них вирусы на компьютерах.

Ответить
1

Почему не могут? На озоне есть авторизация по номеру телефона через генерируемый уникальный смс-код. Вообще это основной способ авторизации. Базам несколько лет с паролями, они утекли до 2019.

Ответить
–2

Вы либо не поняли, либо сделали вид, что не поняли. Интересно, как тогда вышло вот это:
Журналисты РБК проверили около сотни случайных адресов и выяснили, что они по-прежнему актуальны.

Ответить
4

Журналисты наврали. Проверьте, введите ваш существующий логин и неправильный пароль, и введите выдуманную почту и выдуманный пароль, вам в обоих случаях напишет "неверная почта или пароль".

Ответить
2

Мой комментарий относится к переживаниям на тему того, что аж 2019, русские не могу реализовать авторизацию безопасную. Я написал что могут, пожалуйста, есть номер телефона. Не все этот способ используют, вот и всё. В стиме, как и в сотне других сервисов, данная возможность тоже опциональная. И в стиме тоже воруют пароли. А ещё в фейсбуке, инстаграмме, яху и т.д.

Ответить
2

По поводу журналистов РБК — это вы либо не поняли, либо статью не открыли исходную. Цитирую для тех кто в танке: "При этом, отмечает издание, указанные пароли не подходят для входа в Ozon".

Что там актуально не знаю, но всех скомпрометированных адресов были сгенерироованы новые пароли.

Ответить
–1

Трехфакторную. Четырехфакторную.
Что защищаем-то? Историю заказов?

Паранойю лечить надо.

Ответить
2

Там привязывается карта.
Там есть адреса, телефоны.

Ответить
0

Так, и что дальше? Злоумышленник получает доступ к привязанной карте, узнает адрес, фио, телефон.
Где профит?

Средствами на карте воспользоваться не сможет - доступа к трубе нет.

Ответить
2

Многие юзеры используют один пароль везде. А это уже опасно.

Ответить
0

Опасные юзеры

Ответить
0

Это проблемы юзеров, а не сервиса.

Вот и имеем на всякой фигне капчу с витринами и подтверждение по смс.
Даже банки без капчи

Ответить
5

Так а актуализировать кто будет? Что за сервис..

Ответить
5

Это не наши клиенты , он уволились месяц назад

Ответить
4

Смешно) Пароли никто НИКОГДА не меняет. Только когда забывают.

Феерически-дурацкое заявление

Ответить
2

Переодически пробиваю по базам haveibeenpwned, старые почты там постоянно светятся как гирлянда

Ответить
2

Похоже, что кто-то просто хочет сбить цену ozon и делает черный пиар

Ответить
0

да по интернета продают товары с озона за 40 процентов от стоимости ))) какой пиар)

Ответить
1

Очень сложно поверить в то, что пароли хранились незахешированными...

Ответить
1

да как нефиг нафиг

Ответить
0

Этим переболели многие, в частности сам ВК раньше высылал пароль на почту. Всегда есть желающие изменить ситуацию и всегда есть руководство которому просто похер

Ответить
1

Ну и хорошо, допустим моя учетка утекла, и что они сделают? Закажут себе книгу "Что делать с украденной учеткой от интернет-магазина?"

Ответить
3

У многих там на балансе есть деньги и баллы. Можно закупиться за чужой счет.

Ответить
0

сейчас специально зашёл проверить может забыл, но нет там баллов и счёта

Ответить
0

Хрен с вами, погромист! У других, непогромистов, один и тот же пароль ко всему.

Ответить
1

все, к чему прикасается Сбербанк становится тухлым

Ответить
1

Уж до озона добрались??? Не слышал...

Ответить
0

ну про утечки в озон выбросили чтобы дешевле Сбербанк продаться?. в Авито утечек не было, значит ясно кого купит Сбербанк.

Ответить
1

Совсем не удивлен. Баг на баге у них. То фильтр не работает, то сайт закрывается, то заказы не отображаются или вместо них висят ошибки. Чего еще ожидать. Зато прекрасно "работают" скидки. Типа только сегодня кофемолка из китая вместо 38 тысяч всего за 2990 руб.

Ответить
1

База включает адреса электронной почты и пароли для входа в Ozon

Как? Как можно хранить пароли в незашифрованном виде? Кажется, даже 11-летние программисты понимают, что это самый страшный смертный грех.

Ответить
0

Я регистрировал недавно новый аккаунт, на нем сброшен пароль. Заебал этот Ozon, то обсерается с доставкой каждый год в праздники, то информацию сливает.

Ответить
0

"Однако пароли для входа уже подходят"?

Ответить
0

Феерия

Ответить
0

Озон - клоуны 😂😂😂 их вскрыли, а они оправдываются. Прямо как Рома курочка Куценко

Ответить
0

Клоуны 😂😂😂 как можно нанимать пеарщиков по объявлению из руки в руки 🤦🏻‍♂️

Ответить
0

хостится то озон в США))) 45.60.40.164 залип над тестом не мог понять, привык к персональным данным и прочей ерунде https://loaddy.com/result/297056958/

Ответить
0

А где ссылка на pastebin? :D

Ответить
0

Да за сам факт хранения паролей в открытом виде «убивать» надо, что ещё за прикол, мало того, так считай их по дороге к озону тоже читать могли

Ответить
0

Мне как-то пх.

Ответить
0

Можно сбрасывать у себя сколько угодно. Многие люди используют один и тот же пароль почти на всех сервисах, которые сбрасывать ничего не будут.

Ответить
0

это месть 150 уволенных сотрудников ?

Ответить
0

Экхм, вообще-то всегда взламывалась почта, потом с этим email и паролем ходили пробовали попасть в личные кабинеты на крупнейших е-коммерс сайтах страны. Пароли безопасники все всегда на сайтах немедленно сбрасывали. А вот что там было с почтой...

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Приложение-плацебо скачали
больше миллиона раз
Подписаться на push-уведомления
{ "page_type": "default" }