Comments 26
То есть, до 2018 года пароли хранились в открытом виде, а виноваты все равно пользователи и вирусы. Чудненько.
Меня это сразу насторожило, когда при восстановлении пароля прислали старый, а не сгенерировали новый. Сначала вообще был в шоке, как такое возможно, солить хэши чуть-ли не базовых учебниках по php советуют, а тут крупная компания...
солить хэши чуть-ли не базовых учебниках по php советуют
Крупная компания запилила свою базу ещё когда даже просто считать хеши не было мейнстримом.
Охотно верю, что в 1998 году такие практики не были распостранены. Но неужели они не трогали систему аутентификации все 20 лет? Тем более это может быть прозрачно для пользователей — пароли менять никому не надо, поменяется только процесс восстановления.
Ну, и когда можно не генерировать новый пароль, а выслать существующий, удобно же :)
Как это ни странно, но хранением паролей в открытом виде страдал даже Яндекс.
На рубеже тысячелетий создал сайт на Народе, потом, когда они продались Юкозу (несколько лет назад), решил восстановить доступ — прислали пароль открытым текстом.
1978 год Morris and Thompson's 1978 paper “Password Security: A Case History”
https://www.bell-labs.com/usr/dmr/www/passwd.ps
Используя логин пароль, можно увидеть персональные данные пользователя.
Обладание парой логин-пароль само по себе не преступление, но а) организация утечки такой пары может посчитаться разглашением, и б) использование этой пары кем-либо для получения/использования чужих персональнх данных (увидеть адрес доставки или оплатить покупку сохранённой картой) преступлением будет.
Оператор персональных данных обязан обеспечивать сохранность этих данных от третьих лиц. Если он этого не делает или делает плохо, к нему могут применяться различные санкции, чтобы мотивировать исправить недостатки, таков закон. Утечка учеток пользователей вполне себе пример плохой защиты ПД.
Роскомнадзор уже потребовал разъяснить утечку данных пользователей.
Какой ужас, их же теперь наверное даже поругают за это!
Вчера журналисты РБК из ничего создали очередную «сенсацию» про утечку паролей из онлайн магазина «Озон».
Журналистам «повезло» найти на одной из многочисленных помоек в интернете некий файл, который они описали так: “База, в которой содержатся адреса электронной почты и пароли почти от полумиллиона аккаунтов пользователей интернет-магазина Ozon”.
На самом деле они нашли текстовый файл – дамп логинов и паролей (в формате login:password), скорее всего с именем «[450k] Ozon.ru.txt», размером 13 Мб, содержащий 458351 запись (458352 с учетом битой строки).
Этот дамп был выложен в открытый доступ на одном из форумов (который одним из первых попадается в поиске Яндекс, где его вероятно и нашли журналисты РБК) — 21.11.2018. В реальности, данные из этого дампа «засветились» еще раньше в многочисленных подборках (combo) пар логин/пароль. В том числе пароли из этого дампа попали в наш анализ 4 млрд утекших паролей (https://www.devicelock.com/ru/blog/analiz-4-mlrd-parolej-chast-vtoraya.html).
Никакого интереса эти данные не представляют. Типично для подобного рода дампов – пароли простые, т.к. скорее всего восстановлены из хешей (обычно MD5 без соли). При таком способе сложные пароли просто не попадают в дамп.
Удивительно (на самом деле нет), что журналистов РБК не заинтересовала база данных клиентов «Озон» (файл «База клиентов интернет-магазина ОЗОН.РУ.xlsx», размером 189 Мб), датированная июлем 2017 года, в которой содержатся данные покупателей «Озон» за 2006-2017 гг в количестве 1,002,401 строк, в том числе ФИО, адрес, телефон.
Персональные данные более 450 тыс. пользователей Ozon утекли в сеть. Роскомнадзор просит объясниться