Ozon: среди 450 тысяч утёкших аккаунтов только 30 тысяч оказались «живыми» Статьи редакции
Роскомнадзор не считает их компрометацию нарушением прав пользователей.
Большинство аккаунтов пользователей Ozon, об утечке которых в начале июля писало РБК, оказались неактивными. Об этом говорится в разъяснениях компании для Роскомнадзора, которые ритейлер также разослал в СМИ.
Журналисты РБК обнаружили базу с адресами электронной почты и паролями 450 тысяч пользователей Ozon. Часть адресов была актуальна, но пароли для входа не подходят, писало издание 10 июля. Ритейлер настаивает, что с его стороны утечки не было, а найденная журналистами база собрана из нескольких утечек с других сервисов.
Руководитель службы информационной безопасности Ozon Александр Болотов утверждает, что компания нашла файл "[450k] Ozon.ru.txt", на который ссылается РБК, ещё в конце 2018 года. После проверки базы компания сбросила пароли для всех аккаунтов из списка, предупредив об этом их владельцев.
Ритейлер не скрывал от пользователей информацию об инциденте, настаивает Болотов.
Роскомнадзор по итогам проверки не обнаружил нарушения прав пользователей Ozon, цитирует представителя ведомства «Интерфакс».
Роскомнадзор счёл убедительными аргументы Ozon, что оказавшаяся в открытом доступе база была собрана неизвестными из различных источников. По версии ведомства, более 90% скомпрометированных данных являются результатом автогенерации паролей.
«У нас украли только 30 тысяч учёток , все окнорм»
Вот идиоты то 🤦🏻♂️🤦🏻♂️🤦🏻♂️
Аккаунты были получены в результате утечек с других сервисов или хакерских атак на гаджеты самих пользователей. У Ozon утечек не было, и наши пользователи не пострадали — пароли служба безопасности оперативно сбросила, пользователей оповестили.
Комментарий недоступен
Работаем над этим)
Вопрос на засыпку.
Делал заказ, указал только номер телефона и пароль из смс и каким-то чудом провалился в чужой аккаунт где были указаны ФИО, несколько адресов, содержание заказов и т.д.
Это нормально?
Я владею номером больше 2х лет. Разве не следовало бы сбрасывать данные или вводить дополнительные методы идентификации?
Кстати писал вам об этом на почту, спасибо что НЕ ответили спустя полтора месяца. Очень почувствовал вашу заботу.
Здравствуйте! По данному вопросы Вы можете написать нам сюда https://vk.com/ozon или сюда https://www.facebook.com/ozon.ru/ . Обязательно укажите номер телефона при обращении.
Комментарий удален модератором
За что вы так кошмарите своих клиентов рассылками? Просто тонны помоев летят, письмо за письмом...
Подтверждаю !! И многочисленные пуш уведомления ... почему вы так нас не любите ??🤦♂️
Вы не умеете отключать пуши?
Ниже ответ как и озону
Добрый день! Отключить пуш-уведомления можно в личном кабинете в разделе "настройки".
Но я хочу их получать, но только важное и нужное ! А не набор букв с бешеным призывом о якобы скидках ( где нарисовали в начале , зачеркнули и поставили обычную рыночную цену) иногда такое ощущение что эти Сообщения умолишенный пишет либо маленький ребёнок ! Кроме негодования и гнева эти сообщения ничего не вызывают !
Напоминать о себе можно тысячами способами с более глубокой конверсией и с сохранением лояльности и здоровья своих пользователей!
Спасибо за комментарий. Рассмотрим Ваши пожелания.
Добрый день! Отключить маркетинговую рассылку можно в личном кабинете в разделе "Подписки".
О, стандартный ответ из озоновской методички
Комментарий удален модератором
http://lurkmore.to/%D0%9C%D1%8B_%D1%80%D0%B0%D0%B1%D0%BE%D1%82%D0%B0%D0%B5%D0%BC_%D0%BD%D0%B0%D0%B4_%D1%8D%D1%82%D0%B8%D0%BC
Все и так хорошо.
Комментарий удален модератором
Если так, то молодцы 😎
не привёл к фактическому нарушению прав субъектов персональных данных.
Не привел, потому что все пароли оперативно сбросили, всех пользователей оповестили — никто не пострадал
Комментарий недоступен
Насколько я понял , злоумышленники получили ещё личные данные этих 30 тыс ? Адрес доставки, книги и др товары ? А если кто-то из чиновников заказывал «интересные» товары и сейчас этой информацией могут пользоваться ..? Я не хочу чтобы кто-то знал что я покупаю и куда доставили это ... ещё и Почта моя и ФИО для идентификации 🤦♂️ 😬 и это «все хорошо» ))
Баллов накиньте вдобавок. А то все равно страшно...
"Поскольку потока обращений клиентов Ozon в уполномоченный орган мы не зафиксировали, Роскомнадзор считает, что факт компрометации 30 тысяч клиентских аккаунтов не привёл к фактическому нарушению прав субъектов персональных данных."
- Когда убьют вас, тогда и приходите
Читайте: пароли были уже сброшены ранее.
Читать надо что Роскомнадзор был создан не для защиты ваших прав, а с точностью до наоборот.
Только вот люди часто используют одни и теже пароли везде. Конечно сами дураки, но приуменьшать масштаб возможного ущерба тоже хреново
После слива паролей, в аккаунте кто-то разместил заказ. После обращения в ozon они отреагировали через два дня. И прислали такое письмо, хотя сами допустили слив информации.
Дичь какая-то.
Ритейлер настаивает, что с его стороны утечки не было, а найденная журналистами база собрана из нескольких утечек с других сервисов.Какие ваши доказательства? Это пустые слова, т.к. выявлена не база в 10 млн, из которых 450 тыс. ваши, а именно база из 450 тыс. ваших пользователей. Изначально утечка носила ваше имя.
При проверке данных из файла было обнаружено, что многие аккаунты встречаются в обнаруженных ранее утечках с других сервисов — почта, социальные сети и даже игровые платформы. Это подтвердила проверка аккаунтов через поиск по сайту Leaked Source.Многие это сколько? Ваше жонглирование фактами и замалчивание числа пересечений наводит на определенные мысли. Так многие это сколько, больше 20-30%?
Более 390 тысяч аккаунтов из базы имели регистрацию на Ozon, но регистрация была их единственным действием на площадке. То есть они не сделали ни одного заказа, не имели баллов на пользовательских счетах — это указывает на автоматическую генерацию этих учетных записей.Что? Вы хотите сказать, что кто-то нагенерил учетные данные и нагенерировал левые аккаунты в вашей системе? Но как это бьется с
многие аккаунты встречаются в обнаруженных ранее утечках с других сервисовТ.е. это данные реальных людей, которые были массово зарегистрированы у вас, но вы об этом не знали? А что, этим людям вы рассылки по почте не делали? А инвесторам в отчеты о числе зарегистрированных пользователей эти 400 тысяч попадали?
При обнаружении указанного файла еще в декабре, мы проверили все аккаунты — порядка 10% не были зарегистрированы на Ozon в принципе, 390 тысяч — результат автогенерации. Соответственно, только порядка 7% аккаунтов из базы принадлежат живым пользователям. И, конечно, нельзя верить всему, что пишут в интернете — файл можно назвать как угодно.
Для повышения ценности подобных «баз» мошенники часто генерируют аккаунты — большая часть базы и была результатом автогенерации. Остальные аккаунты — как раз компиляция утечек с других сайтов или результат атаки на гаджеты пользователей. Часто люди используют одни и те же пароли на разных сервисах — например, в социальных сетях и на игровых платформах. Многие аккаунты из базы не были зарегистрированы на Ozon.
Только порядка 7% аккаунтов из базы принадлежали пользователям, которые заходили на Ozon в последние два года и/или имели баллы на пользовательских счетах. Сразу после обнаружения базы наша служба безопасности сбросила пароли их аккаунтов и, конечно, в тот же момент направили им электронные письма.
В чём логика и задача злоумышленников? Зачем им было необходимо брать реальные аккаунты пользователей и загонять их в вашу систему? Вы на этот вопрос отвечаете:
Для повышения ценности подобных «баз» мошенники часто генерируют аккаунтыТ.е. злоумышленники гарантированно получили доступ к информации 30 тысяч реальных пользователей в составе:
многие аккаунты встречаются в обнаруженных ранее утечках с других сервисов — почта, социальные сети и даже игровые платформы. Это подтвердила проверка аккаунтов через поиск по сайту Leaked Source.— ФИО
— электронная почта
— телефон
— домашний/рабочий адрес
— список покупок и интересов
, а далее добили в базу ещё 390 тысяч пользователей, которые никогда ничего у вас не покупали, но, как вы признали, из которых многие являются реальными людьми:
И, конечно, нельзя верить всему, что пишут в интернете — файл можно назвать как угодно.
Это цитата из уст вашего же сотрудника:
Руководитель службы информационной безопасности Ozon Александр Болотов утверждает, что компания нашла файл "[450k] Ozon.ru.txt", на который ссылается РБК, ещё в конце 2018 года.Вопросы исходя из только ваших заявлений:
1) В какой период времени были внесены эти пользователи в вашу систему?
2) С каких ip-адресов (региональная принадлежность) сгенерированные пользователи были внесены в вашу систему и каким образом (уязвимость или имеющийся фунционал)?
3) В каком составе были введены эти 390000 пользователей? Вы заявляете, что «ни одного заказа, не имели баллов на пользовательских счетах», но не говорите были ли в систему внесены телефоны, ФИО и т.д.
4) Какую региональную принадлежность имеют эти 390000 пользователей (это очевидно по адресам электронной почты)?
5) Каким образом вы могли не заметить прироста в 450000 зарегистрированных пользователей, из которых 390000 не сделали ни одного заказа? У вас же есть бюджеты и показатели, которые данное число пассивных пользователей сразу бы нарушили. Эмарайт?
6) В отчёте перед инвесторами у вас фигурирует число зарегистрированных пользователей?
7) Вы обратились в правоохранительные органы по факту внесения в вашу систему чужих пользовательских данных без ведома их владельцев?
Не знаю как сейчас, но 2 года назад акк взломали, заказали несколько книжек, включая Джона Фаулза, Коэльо, Брэнсона итд. Пришла смс о заказе часов в 11 вечера. На следующий день связался со службой поддержки, заказ заблокировали. Изменил пароль, опять ввел свою почту. Опять взлом в течение получаса. Опять вмешалась служба. Потом опять взлом. Ломали 3 раза, пока наконец окончательно не пофиксили. Вывод? Уязвимость системы, а не слитые данные.
Недавно захотел сделать заказ, пришлось размораживать акк, т.е. его блокирнули, теперь понятно зачем.
А как взломали? Неужели подобрали сложный пароль с цифрами и Буквами в разном регистре?
Расходитесь! Здесь не на что смотреть!
Комментарий недоступен
А где не наплевать на бывших клиентов? О_о
Всем плевать на клиентов. Или рискнёшь опровергнуть?
5 лярдного штрафа не будет?
Мне кажется, я знаю, кто это сделал
А там все иначе...
Я не понимаю, зачем все большие компании хранят у себя пароли?! Технически можно хранить хеши и даже при воровстве всей базы данных пароли останутся неизвестными. Нет, надо хранить пароли в открытом формате, чтобы самим гулять по почтам пользователям (?) а еще потерять базу и скомпрометировать тысячи людей.
Они не хранятся в открытом формате
А это что означает?! Про фишинг никто не писал, вероятнее украли базу. А раз так - значит пароли там в открытом виде. Ну либо опровергните, но с пояснением.
Люди используют одни и те же пароли на разных сайтах. Если бы у озона украли миллионную базу, паролей бы было не 30 тысяч подходящих.
Кроме неприятных ощущений, какой возможный ущерб может нанести злоумышленник при получении доступа к аккаунту интернет магазина?
Там ФИО, номер телефона, могут быть домашние и рабочие адреса. Как-то не правильно такие связки данных в публичный доступ выкидывать. Плюс могут быть привязаны карты...
У многих повторяются пароли
Вброс
Ну что же, Озон можно поздравить с вхождением в Лигу Больших технологических компаний! Как Сбербанк, Альфа, МТС.... У кого там ещё сотни тысяч клиентов утекали?
Комментарий удален модератором
Это ещё что! Вон перерождённый Alfa Forex (https://alfaforex.ru/) хранит пароли в открытом виде и очень настойчиво утверждает, что в этом нет ничего страшного. :-D Довольно забавно, ведь регистрация в этом сервисе происходит через официальное мобильное приложение Альфа-Банк, и многие пользователи просто введут тот же самый пароль, который у них в Альфе.
Комментарий удален модератором