РБК сообщил об утечке логинов и паролей 450 тысяч пользователей Ozon — ритейлер утверждает, что пострадавших меньше Статьи редакции
В компании уверяют, что в базе лишь несколько процентов пользователей Ozon и служба безопасности сбросила их пароли ещё в 2018 году.
Данные 450 тысяч пользователей интернет-магазина Ozon были опубликованы на одном из сайтов, собирающих утечки данных. Об этом пишет РБК, нашедшее базу.
База включает адреса электронной почты и пароли для входа в Ozon. Журналисты РБК проверили около сотни случайных адресов и выяснили, что они по-прежнему актуальны. Однако пароли для входа уже не подходят.
Представитель Ozon сообщил vc.ru, что эта база «ходит» по сети с 2018 года и компания проверяла данные из неё — они неактуальны. В Ozon предположили, что данные попали в сеть, потому что пользователи использовали одни и те же пароли на разных сайтах или подверглись взлому.
Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учётных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании.
Эксперт неназванной компании в сфере кибербезопасности рассказал РБК, что утечка могла произойти ещё полгода назад. По его словам, база состоит из двух других баз данных, опубликованных на одном из хакерских форумов в ноябре 2018 года. Ozon ранее официально не сообщал об утечках или взломах.
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий считает, что данные могли попасть в сеть по трём причинам: базу опубликовал кто-то из сотрудников Ozon, её похитили хакеры, проникшие в систему ритейлера, либо проблема в неправильно настроенном сервере. Также Лукацкий не исключил, что в момент утечки данные могли храниться в незашифрованном виде.
Если бы пароли были зашифрованы, то маловероятно, что кто-то смог бы их дешифровать и выложить в открытом виде. Если данная база не является фейком, то приходится признать, что хранились пароли в открытом виде. К сожалению, это является распространенной практикой.
В декабре 2018 года технический директор Ozon Анатолий Орлов рассказал на «Хабре», что компания перестала присылать пользователям пароли в незашифрованном виде при восстановлении аккаунта. Пользователи жаловались на эту проблему как минимум с 2012 года.
Обновлено в 23:00. Среди 450 тысяч адресов и паролей, найденных РБК, лишь несколько процентов принадлежат пользователям Ozon, сообщил vc.ru представитель ритейлера. Точное количество пользователей он назвать отказался.
Эксперты, с которыми связались журналисты, утверждают, что потенциально все аккаунты могут принадлежать нашим клиентам — но только потому, что у Ozon больше 30 млн пользователей.
При этом большая часть из обнаруженных аккаунтов - неактивные, то есть они не использовались долгое время.
На ситуацию отреагировал Роскомнадзор, в ведомстве заявили, что запросят у Ozon разъяснения.
Тот факт, что Ozon своевременно не предупредил о возникшей опасности, ставит под угрозу безопасность всех пользователей интернет-магазина.
Очень сложно поверить в то, что пароли хранились незахешированными...
да как нефиг нафиг