Ozon: среди 450 тысяч утёкших аккаунтов только 30 тысяч оказались «живыми» Статьи редакции

Роскомнадзор не считает их компрометацию нарушением прав пользователей.

Большинство аккаунтов пользователей Ozon, об утечке которых в начале июля писало РБК, оказались неактивными. Об этом говорится в разъяснениях компании для Роскомнадзора, которые ритейлер также разослал в СМИ.

Журналисты РБК обнаружили базу с адресами электронной почты и паролями 450 тысяч пользователей Ozon. Часть адресов была актуальна, но пароли для входа не подходят, писало издание 10 июля. Ритейлер настаивает, что с его стороны утечки не было, а найденная журналистами база собрана из нескольких утечек с других сервисов.

При проверке данных из файла было обнаружено, что многие аккаунты встречаются в обнаруженных ранее утечках с других сервисов — почта, социальные сети и даже игровые платформы. Это подтвердила проверка аккаунтов через поиск по сайту Leaked Source.

Более 390 тысяч аккаунтов из базы имели регистрацию на Ozon, но регистрация была их единственным действием на площадке. То есть они не сделали ни одного заказа, не имели баллов на пользовательских счетах — это указывает на автоматическую генерацию этих учетных записей.

Ozon

Только 30 тысяч пользователей из базы заходили на сайт Ozon в последние два года и имеют баллы или деньги на пользовательских счетах.

Руководитель службы информационной безопасности Ozon Александр Болотов утверждает, что компания нашла файл "[450k] Ozon.ru.txt", на который ссылается РБК, ещё в конце 2018 года. После проверки базы компания сбросила пароли для всех аккаунтов из списка, предупредив об этом их владельцев.

Ритейлер не скрывал от пользователей информацию об инциденте, настаивает Болотов.

Регулярный мониторинг сайтов, где могут появиться украденные у пользователей или сервисов данные — стандартный протокол безопасности для нашей компании.

Люди очень часто используют одни и те же данные при регистрации на разных сервисах, поэтому мы проверяем любую найденную базу на наличие в ней аккаунтов пользователей Ozon, сбрасываем пароли и оперативно сообщаем пользователям о том, что их данные были скомпрометированы.

Александр Болотов, руководитель службы информбезопасности Ozon

Роскомнадзор по итогам проверки не обнаружил нарушения прав пользователей Ozon, цитирует представителя ведомства «Интерфакс».

Поскольку потока обращений клиентов Ozon в уполномоченный орган мы не зафиксировали, Роскомнадзор считает, что факт компрометации 30 тысяч клиентских аккаунтов не привёл к фактическому нарушению прав субъектов персональных данных.

Роскомнадзор

Роскомнадзор счёл убедительными аргументы Ozon, что оказавшаяся в открытом доступе база была собрана неизвестными из различных источников. По версии ведомства, более 90% скомпрометированных данных являются результатом автогенерации паролей.

0
50 комментариев
Написать комментарий...
Вилен Комшилов

«У нас украли только 30 тысяч учёток , все окнорм»
Вот идиоты то 🤦🏻‍♂️🤦🏻‍♂️🤦🏻‍♂️

Ответить
Развернуть ветку
Ozon

Аккаунты были получены в результате утечек с других сервисов или хакерских атак на гаджеты самих пользователей. У Ozon утечек не было, и наши пользователи не пострадали — пароли служба безопасности оперативно сбросила, пользователей оповестили.

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Ozon

Работаем над этим)

Ответить
Развернуть ветку
Валерий Березовый

Вопрос на засыпку.
Делал заказ, указал только номер телефона и пароль из смс и каким-то чудом провалился в чужой аккаунт где были указаны ФИО, несколько адресов, содержание заказов и т.д.
Это нормально?
Я владею номером больше 2х лет. Разве не следовало бы сбрасывать данные или вводить дополнительные методы идентификации?
Кстати писал вам об этом на почту, спасибо что НЕ ответили спустя полтора месяца. Очень почувствовал вашу заботу.

Ответить
Развернуть ветку
Ozon Ru

Здравствуйте! По данному вопросы Вы можете написать нам сюда https://vk.com/ozon или сюда https://www.facebook.com/ozon.ru/ . Обязательно укажите номер телефона при обращении.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Vitaly Andreev

За что вы так кошмарите своих клиентов рассылками? Просто тонны помоев летят, письмо за письмом...

Ответить
Развернуть ветку
Egor Pospelov

Подтверждаю !! И многочисленные пуш уведомления ... почему вы так нас не любите ??🤦‍♂️

Ответить
Развернуть ветку
akademik21

Вы не умеете отключать пуши?

Ответить
Развернуть ветку
Egor Pospelov

Ниже ответ как и озону

Ответить
Развернуть ветку
Ozon Ru

Добрый день! Отключить пуш-уведомления можно в личном кабинете в разделе "настройки".

Ответить
Развернуть ветку
Egor Pospelov

Но я хочу их получать, но только важное и нужное ! А не набор букв с бешеным призывом о якобы скидках ( где нарисовали в начале , зачеркнули и поставили обычную рыночную цену) иногда такое ощущение что эти Сообщения умолишенный пишет либо маленький ребёнок ! Кроме негодования и гнева эти сообщения ничего не вызывают !
Напоминать о себе можно тысячами способами с более глубокой конверсией и с сохранением лояльности и здоровья своих пользователей!

Ответить
Развернуть ветку
Ozon Ru

Спасибо за комментарий. Рассмотрим Ваши пожелания.

Ответить
Развернуть ветку
Ozon Ru

Добрый день! Отключить маркетинговую рассылку можно в личном кабинете в разделе "Подписки".

Ответить
Развернуть ветку
Вы в федеральном розыске

О, стандартный ответ из озоновской методички

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Вы в федеральном розыске
Ответить
Развернуть ветку
Самарский житель

Все и так хорошо.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Reb Rending

Если так, то молодцы 😎

Ответить
Развернуть ветку
Josh Bryant
только 30 тысяч
не привёл к фактическому нарушению прав субъектов персональных данных.
Ответить
Развернуть ветку
Ozon

Не привел, потому что все пароли оперативно сбросили, всех пользователей оповестили — никто не пострадал

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Egor Pospelov

Насколько я понял , злоумышленники получили ещё личные данные этих 30 тыс ? Адрес доставки, книги и др товары ? А если кто-то из чиновников заказывал «интересные» товары и сейчас этой информацией могут пользоваться ..? Я не хочу чтобы кто-то знал что я покупаю и куда доставили это ... ещё и Почта моя и ФИО для идентификации 🤦‍♂️ 😬 и это «все хорошо» ))

Ответить
Развернуть ветку
Самарский житель

Баллов накиньте вдобавок. А то все равно страшно...

Ответить
Развернуть ветку
Василий Алёшин

"Поскольку потока обращений клиентов Ozon в уполномоченный орган мы не зафиксировали, Роскомнадзор считает, что факт компрометации 30 тысяч клиентских аккаунтов не привёл к фактическому нарушению прав субъектов персональных данных."

- Когда убьют вас, тогда и приходите

Ответить
Развернуть ветку
Дмитрий Гладышев

Читайте: пароли были уже сброшены ранее.

Ответить
Развернуть ветку
Victor Malov

Читать надо что Роскомнадзор был создан не для защиты ваших прав, а с точностью до наоборот.

Ответить
Развернуть ветку
Стас Федоров

Только вот люди часто используют одни и теже пароли везде. Конечно сами дураки, но приуменьшать масштаб возможного ущерба тоже хреново

Ответить
Развернуть ветку
Сергей Азаров

После слива паролей, в аккаунте кто-то разместил заказ. После обращения в ozon они отреагировали через два дня. И прислали такое письмо, хотя сами допустили слив информации.

Ответить
Развернуть ветку
Алексис Второй

Дичь какая-то.

Ритейлер настаивает, что с его стороны утечки не было, а найденная журналистами база собрана из нескольких утечек с других сервисов.

Какие ваши доказательства? Это пустые слова, т.к. выявлена не база в 10 млн, из которых 450 тыс. ваши, а именно база из 450 тыс. ваших пользователей. Изначально утечка носила ваше имя.

При проверке данных из файла было обнаружено, что многие аккаунты встречаются в обнаруженных ранее утечках с других сервисов — почта, социальные сети и даже игровые платформы. Это подтвердила проверка аккаунтов через поиск по сайту Leaked Source.

Многие это сколько? Ваше жонглирование фактами и замалчивание числа пересечений наводит на определенные мысли. Так многие это сколько, больше 20-30%?

Более 390 тысяч аккаунтов из базы имели регистрацию на Ozon, но регистрация была их единственным действием на площадке. То есть они не сделали ни одного заказа, не имели баллов на пользовательских счетах — это указывает на автоматическую генерацию этих учетных записей.

Что? Вы хотите сказать, что кто-то нагенерил учетные данные и нагенерировал левые аккаунты в вашей системе? Но как это бьется с

многие аккаунты встречаются в обнаруженных ранее утечках с других сервисов

Т.е. это данные реальных людей, которые были массово зарегистрированы у вас, но вы об этом не знали? А что, этим людям вы рассылки по почте не делали? А инвесторам в отчеты о числе зарегистрированных пользователей эти 400 тысяч попадали?

Ответить
Развернуть ветку
Ozon

При обнаружении указанного файла еще в декабре, мы проверили все аккаунты — порядка 10% не были зарегистрированы на Ozon в принципе, 390 тысяч — результат автогенерации. Соответственно, только порядка 7% аккаунтов из базы принадлежат живым пользователям. И, конечно, нельзя верить всему, что пишут в интернете — файл можно назвать как угодно.

Для повышения ценности подобных «баз» мошенники часто генерируют аккаунты — большая часть базы и была результатом автогенерации. Остальные аккаунты — как раз компиляция утечек с других сайтов или результат атаки на гаджеты пользователей. Часто люди используют одни и те же пароли на разных сервисах — например, в социальных сетях и на игровых платформах. Многие аккаунты из базы не были зарегистрированы на Ozon.

Только порядка 7% аккаунтов из базы принадлежали пользователям, которые заходили на Ozon в последние два года и/или имели баллы на пользовательских счетах. Сразу после обнаружения базы наша служба безопасности сбросила пароли их аккаунтов и, конечно, в тот же момент направили им электронные письма.

Ответить
Развернуть ветку
Алексис Второй
390 тысяч — результат автогенерации

В чём логика и задача злоумышленников? Зачем им было необходимо брать реальные аккаунты пользователей и загонять их в вашу систему? Вы на этот вопрос отвечаете:

Для повышения ценности подобных «баз» мошенники часто генерируют аккаунты

Т.е. злоумышленники гарантированно получили доступ к информации 30 тысяч реальных пользователей в составе:
— ФИО
— электронная почта
— телефон
— домашний/рабочий адрес
— список покупок и интересов
, а далее добили в базу ещё 390 тысяч пользователей, которые никогда ничего у вас не покупали, но, как вы признали, из которых многие являются реальными людьми:

многие аккаунты встречаются в обнаруженных ранее утечках с других сервисов — почта, социальные сети и даже игровые платформы. Это подтвердила проверка аккаунтов через поиск по сайту Leaked Source.
И, конечно, нельзя верить всему, что пишут в интернете — файл можно назвать как угодно.

Это цитата из уст вашего же сотрудника:

Руководитель службы информационной безопасности Ozon Александр Болотов утверждает, что компания нашла файл "[450k] Ozon.ru.txt", на который ссылается РБК, ещё в конце 2018 года.

Вопросы исходя из только ваших заявлений:
1) В какой период времени были внесены эти пользователи в вашу систему?
2) С каких ip-адресов (региональная принадлежность) сгенерированные пользователи были внесены в вашу систему и каким образом (уязвимость или имеющийся фунционал)?
3) В каком составе были введены эти 390000 пользователей? Вы заявляете, что «ни одного заказа, не имели баллов на пользовательских счетах», но не говорите были ли в систему внесены телефоны, ФИО и т.д.
4) Какую региональную принадлежность имеют эти 390000 пользователей (это очевидно по адресам электронной почты)?
5) Каким образом вы могли не заметить прироста в 450000 зарегистрированных пользователей, из которых 390000 не сделали ни одного заказа? У вас же есть бюджеты и показатели, которые данное число пассивных пользователей сразу бы нарушили. Эмарайт?
6) В отчёте перед инвесторами у вас фигурирует число зарегистрированных пользователей?
7) Вы обратились в правоохранительные органы по факту внесения в вашу систему чужих пользовательских данных без ведома их владельцев?

Ответить
Развернуть ветку
Serge Tikhonenko

Не знаю как сейчас, но 2 года назад акк взломали, заказали несколько книжек, включая Джона Фаулза, Коэльо, Брэнсона итд. Пришла смс о заказе часов в 11 вечера. На следующий день связался со службой поддержки, заказ заблокировали. Изменил пароль, опять ввел свою почту. Опять взлом в течение получаса. Опять вмешалась служба. Потом опять взлом. Ломали 3 раза, пока наконец окончательно не пофиксили. Вывод? Уязвимость системы, а не слитые данные.
Недавно захотел сделать заказ, пришлось размораживать акк, т.е. его блокирнули, теперь понятно зачем.

Ответить
Развернуть ветку
Юрий Б.

А как взломали? Неужели подобрали сложный пароль с цифрами и Буквами в разном регистре?

Ответить
Развернуть ветку
ivan krapivin

Расходитесь! Здесь не на что смотреть!

Ответить
Развернуть ветку
Аккаунт удален

Комментарий недоступен

Ответить
Развернуть ветку
Семен Смирнов

А где не наплевать на бывших клиентов? О_о

Ответить
Развернуть ветку
Вы в федеральном розыске

Всем плевать на клиентов. Или рискнёшь опровергнуть?

Ответить
Развернуть ветку
Рустам Фатов

5 лярдного штрафа не будет?

Ответить
Развернуть ветку
Цой жив

Мне кажется, я знаю, кто это сделал

Ответить
Развернуть ветку
Елена Краско

А там все иначе...

Ответить
Развернуть ветку
Дима Мельник

Я не понимаю, зачем все большие компании хранят у себя пароли?! Технически можно хранить хеши и даже при воровстве всей базы данных пароли останутся неизвестными. Нет, надо хранить пароли в открытом формате, чтобы самим гулять по почтам пользователям (?) а еще потерять базу и скомпрометировать тысячи людей.

Ответить
Развернуть ветку
Unknown

Они не хранятся в открытом формате

Ответить
Развернуть ветку
Дима Мельник
> Журналисты РБК обнаружили базу с адресами электронной почты и паролями 450 тысяч пользователей Ozon

А это что означает?! Про фишинг никто не писал, вероятнее украли базу. А раз так - значит пароли там в открытом виде. Ну либо опровергните, но с пояснением.

Ответить
Развернуть ветку
Unknown

Люди используют одни и те же пароли на разных сайтах. Если бы у озона украли миллионную базу, паролей бы было не 30 тысяч подходящих.

Ответить
Развернуть ветку
Денис Самойлов

Кроме неприятных ощущений, какой возможный ущерб может нанести злоумышленник при получении доступа к аккаунту интернет магазина?

Ответить
Развернуть ветку
Валерий Березовый

Там ФИО, номер телефона, могут быть домашние и рабочие адреса. Как-то не правильно такие связки данных в публичный доступ выкидывать. Плюс могут быть привязаны карты...

Ответить
Развернуть ветку
Eugene Gultyaev

У многих повторяются пароли

Ответить
Развернуть ветку
Olesia Suhinina

Вброс

Ответить
Развернуть ветку
Dmitry Ilyin

Ну что же, Озон можно поздравить с вхождением в Лигу Больших технологических компаний! Как Сбербанк, Альфа, МТС.... У кого там ещё сотни тысяч клиентов утекали?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Иван Ташкинов

Это ещё что! Вон перерождённый Alfa Forex (https://alfaforex.ru/) хранит пароли в открытом виде и очень настойчиво утверждает, что в этом нет ничего страшного. :-D Довольно забавно, ведь регистрация в этом сервисе происходит через официальное мобильное приложение Альфа-Банк, и многие пользователи просто введут тот же самый пароль, который у них в Альфе.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
47 комментариев
Раскрывать всегда