РБК сообщил об утечке логинов и паролей 450 тысяч пользователей Ozon — ритейлер утверждает, что пострадавших меньше Статьи редакции

В компании уверяют, что в базе лишь несколько процентов пользователей Ozon и служба безопасности сбросила их пароли ещё в 2018 году.

Данные 450 тысяч пользователей интернет-магазина Ozon были опубликованы на одном из сайтов, собирающих утечки данных. Об этом пишет РБК, нашедшее базу.

База включает адреса электронной почты и пароли для входа в Ozon. Журналисты РБК проверили около сотни случайных адресов и выяснили, что они по-прежнему актуальны. Однако пароли для входа уже не подходят.

Представитель Ozon сообщил vc.ru, что эта база «ходит» по сети с 2018 года и компания проверяла данные из неё — они неактуальны. В Ozon предположили, что данные попали в сеть, потому что пользователи использовали одни и те же пароли на разных сайтах или подверглись взлому.

Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учётных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании.

пресс-служба Ozon

Эксперт неназванной компании в сфере кибербезопасности рассказал РБК, что утечка могла произойти ещё полгода назад. По его словам, база состоит из двух других баз данных, опубликованных на одном из хакерских форумов в ноябре 2018 года. Ozon ранее официально не сообщал об утечках или взломах.

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий считает, что данные могли попасть в сеть по трём причинам: базу опубликовал кто-то из сотрудников Ozon, её похитили хакеры, проникшие в систему ритейлера, либо проблема в неправильно настроенном сервере. Также Лукацкий не исключил, что в момент утечки данные могли храниться в незашифрованном виде.

Если бы пароли были зашифрованы, то маловероятно, что кто-то смог бы их дешифровать и выложить в открытом виде. Если данная база не является фейком, то приходится признать, что хранились пароли в открытом виде. К сожалению, это является распространенной практикой.

Алексей Лукацкий, консультант по информационной безопасности Cisco Systems

В декабре 2018 года технический директор Ozon Анатолий Орлов рассказал на «Хабре», что компания перестала присылать пользователям пароли в незашифрованном виде при восстановлении аккаунта. Пользователи жаловались на эту проблему как минимум с 2012 года.

Обновлено в 23:00. Среди 450 тысяч адресов и паролей, найденных РБК, лишь несколько процентов принадлежат пользователям Ozon, сообщил vc.ru представитель ритейлера. Точное количество пользователей он назвать отказался.

Эксперты, с которыми связались журналисты, утверждают, что потенциально все аккаунты могут принадлежать нашим клиентам — но только потому, что у Ozon больше 30 млн пользователей.

При этом большая часть из обнаруженных аккаунтов - неактивные, то есть они не использовались долгое время.

пресс-служба Ozon

На ситуацию отреагировал Роскомнадзор, в ведомстве заявили, что запросят у Ozon разъяснения.

Тот факт, что Ozon своевременно не предупредил о возникшей опасности, ставит под угрозу безопасность всех пользователей интернет-магазина.

Роскомнадзор, цитата по ТАСС
0
84 комментария
Написать комментарий...
Руслан Яцукевич

Добавьте, пожалуйста, ссылку на базу.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Evgeni Nabokov

Там есть законы, которые предписывают сообщать об этом. На первые разы — большие штрафы, а дальше — закрытие бизнеса.

Ответить
Развернуть ветку
3 комментария
Император Всероссийский

Конечно же это не из-за того, что Озон до недавнего времени хранил пароли в открытом виде)

Ответить
Развернуть ветку
Sergey Mokeev

Прислали ссылку на смену пароля, я перехожу, а там баг - пишет, пароль нельзя изменить... Я им написал, ещё пару писем туда-сюда, прислали пароль в открытом виде. Ну я даже не знаю!
Не похоже, что хранил, скорее хранит)), и очень не похоже на принудительную смену пароля.

Ответить
Развернуть ветку
15 комментариев
Paul Denisevich

"Такой пароль уже использует пользователь Misha. Пожалуйста, придумайте другой пароль."

Ответить
Развернуть ветку
Dr. Acula
пользователь [email protected]

пофиксил

Ответить
Развернуть ветку
Andrew Osipov

- сбербанк задумался о покупке авито или озон
- дочка сбербанка выходит на рынок услуг кибербезопасности
- пароли озона оказались в открытом доступе
- .??
- сбербанк покупает озон =)

Ответить
Развернуть ветку
Августин Макдональд

И ни у кого не возникнет вопросов почему так дёшево)

Ответить
Развернуть ветку
2 комментария
Александр Викторович

Тоже новость. Я сколько раз писал им.у них есть баги, можно даже сразу по балансу найти аккаунты. И что ? Ответа ноль. Значит никому Не нужно.

Ответить
Развернуть ветку
ЯжПрограммист
Журналисты РБК проверили около сотни случайных адресов и выяснили, что они по-прежнему актуальны. Однако пароли для входа уже не подходят.

Я один не понял, что сделали и чего добились журналисты рбк? Что значит "актуальны но пароли не подходят"?

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
8 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Unknown

Почему не могут? На озоне есть авторизация по номеру телефона через генерируемый уникальный смс-код. Вообще это основной способ авторизации. Базам несколько лет с паролями, они утекли до 2019.

Ответить
Развернуть ветку
4 комментария
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
5 комментариев
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Никита Крайнев

Это не наши клиенты , он уволились месяц назад

Ответить
Развернуть ветку
Валентин Колосов

Смешно) Пароли никто НИКОГДА не меняет. Только когда забывают.

Феерически-дурацкое заявление

Ответить
Развернуть ветку
Никита Ткачук

Переодически пробиваю по базам haveibeenpwned, старые почты там постоянно светятся как гирлянда

Ответить
Развернуть ветку
Vladimir Zagranovsky

Похоже, что кто-то просто хочет сбить цену ozon и делает черный пиар

Ответить
Развернуть ветку
Александр Викторович

да по интернета продают товары с озона за 40 процентов от стоимости ))) какой пиар)

Ответить
Развернуть ветку
Islam Ibakaev

Очень сложно поверить в то, что пароли хранились незахешированными...

Ответить
Развернуть ветку
ЯжПрограммист

да как нефиг нафиг

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
ЯжПрограммист

Ну и хорошо, допустим моя учетка утекла, и что они сделают? Закажут себе книгу "Что делать с украденной учеткой от интернет-магазина?"

Ответить
Развернуть ветку
Император Всероссийский

У многих там на балансе есть деньги и баллы. Можно закупиться за чужой счет.

Ответить
Развернуть ветку
2 комментария
Evgeni Nabokov

Хрен с вами, погромист! У других, непогромистов, один и тот же пароль ко всему.

Ответить
Развернуть ветку
ave ego

все, к чему прикасается Сбербанк становится тухлым

Ответить
Развернуть ветку
Денис Демидов

Уж до озона добрались??? Не слышал...

Ответить
Развернуть ветку
1 комментарий
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Месье Никита
База включает адреса электронной почты и пароли для входа в Ozon

Как? Как можно хранить пароли в незашифрованном виде? Кажется, даже 11-летние программисты понимают, что это самый страшный смертный грех.

Ответить
Развернуть ветку
Платон Щукин

Я регистрировал недавно новый аккаунт, на нем сброшен пароль. Заебал этот Ozon, то обсерается с доставкой каждый год в праздники, то информацию сливает.

Ответить
Развернуть ветку
Alex Ilyin

"Однако пароли для входа уже подходят"?

Ответить
Развернуть ветку
Sandrino Komaroff

Феерия

Ответить
Развернуть ветку
Вилен Комшилов

Озон - клоуны 😂😂😂 их вскрыли, а они оправдываются. Прямо как Рома курочка Куценко

Ответить
Развернуть ветку
Вилен Комшилов

Клоуны 😂😂😂 как можно нанимать пеарщиков по объявлению из руки в руки 🤦🏻‍♂️

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Alex F

А где ссылка на pastebin? :D

Ответить
Развернуть ветку
Дмитрий Тихомиров

Да за сам факт хранения паролей в открытом виде «убивать» надо, что ещё за прикол, мало того, так считай их по дороге к озону тоже читать могли

Ответить
Развернуть ветку
Ogfrgfkar

Мне как-то пх.

Ответить
Развернуть ветку
Evgeni Nabokov

Можно сбрасывать у себя сколько угодно. Многие люди используют один и тот же пароль почти на всех сервисах, которые сбрасывать ничего не будут.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Dmitry Yakovlev

Экхм, вообще-то всегда взламывалась почта, потом с этим email и паролем ходили пробовали попасть в личные кабинеты на крупнейших е-коммерс сайтах страны. Пароли безопасники все всегда на сайтах немедленно сбрасывали. А вот что там было с почтой...

Ответить
Развернуть ветку
81 комментарий
Раскрывать всегда