Персональные данные более 450 тыс. пользователей Ozon утекли в сеть. Роскомнадзор просит объясниться


    Фото: Евгений Разумный / Ведомости / ТАСС

    Журналисты РБК обнаружили в открытом доступе базу данных, которая содержит адреса электронной почты и пароли от примерно полумиллиона учетных записей пользователей интернет-магазина Ozon. На днях база была выложена на одном из сайтов, который собирает утечки.

    При проверке примерно сотни учеток при помощи сервиса Email Checker, оказалось, что это актуальные аккаунты. Впрочем, пароли для входа уже не подходят, насколько можно понять, пользователи их сменили. Представители Ozon заявляют, что утечка, скорее всего, произошла еще полгода назад. По словам представителей компании, обнаруженная журналистами база состоит из двух баз, оригиналы которых впервые появились на одном из хакерских форумов в ноябре прошлого года.

    Ozon никогда не сообщал об утечках или взломах, тем более, успешных. Единственное свидетельство того, что взлом все же произошел — слова технического директора компании Анатолия Орлова. Он заявил, что система восстановления паролей была изменена, разработчики добавили в нее шифрование.

    «В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Сейчас все пароли пользователей хранятся в хешированном виде («закодированные необратимым образом»): от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно. Лучше всего оберегаются те секреты, которые ты сам не знаешь», — прокомментировал Орлов изменение технологии.

    В интернете также удалось обнаружить единичные жалобы от пользователей Ozon на взлом своих аккаунтов. Но компания тогда заявила, что во взломе виноваты сами пользователи: «Данные оказались скомпрометированы в результате взлома одного из ваших аккаунтов в онлайн-сервисах либо заражения вашего компьютера или мобильного устройства вредоносным ПО и использованы посторонним лицом для доступа к вашему аккаунту на Ozon.ru».

    По словам представителей Ozon, компания ведет мониторинг подозрительной активности в сети, и базу эту видели ее сотрудники. «Файл, о котором вы говорите, ходит по Сети уже достаточно давно, и в свое время мы его также детально проверяли. В нем, насколько нам удалось разобраться, есть данные пользователей разных сервисов и в том числе достаточно старые данные некоторых пользователей Ozon. Судя по всему, эти данные попали в Сеть, потому что пользователи из списка использовали одинаковые пароли для разных сервисов. Мошенники также могли получить их в разное время при помощи вирусной атаки на компьютеры пользователей. Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании», — сообщил представитель Ozon.

    По словам экспертов по информационной безопасности, данные в сеть могли попасть согласно трем сценариям. Первый — человеческий фактор, то есть кто-то из сотрудников Ozon выложил базу или отдал (продал) ее злоумышленникам. Кроме того, ее мог заполучить взломщик, плюс причиной утечки мог стать и неправильно настроенный внешний сервер, который был открыт внешнему миру.

    Специалисты считают, что пароли пользователей на момент утечки могли храниться в открытом виде. Если бы они были зашифрованы, то вряд ли кто-либо смог бы их расшифровать. Подобная практика, по мнению экспертов, является достаточно распространенной.

    Ozon могут наказать


    По словам юристов, данные, которые утекли в сеть, являются персональными данными граждан РФ. Согласно закону «О персональных данных» компания, которая хранит учетные записи, обязана обеспечивать сохранность и конфиденциальность, а также устранять риски утечки. Если к последней привела халатность оператора, то его можно привлечь к административной ответственности. «Статьей 13.11 КоАП за такое нарушение предусмотрен штраф для юридических лиц в размере от 30 тыс. до 50 тыс. руб., который в масштабах бизнеса Ozon можно назвать незначительным», — уточнил партнер юридической компании НАФКО Павел Иккерт.

    Правда, прежде, чем назначить наказание, Роскомнадзор придется установить наличие состава нарушения. А именно -требуется доказать, что причиной утечки являются действия или бездействие оператора. Сделать это довольно сложно, особенно в том случае, если утечка является результатом атаки хакеров.

    Пострадавшие пользователи могут подать в суд, требуя не только возместить материальный ущерб, но и ущерб моральный. Правда, во втором случае могут быть сложности, поскольку оценить размер морального ущерба всегда тяжело.

    Игроки рынка считают, что компания, которая подверглась атакам злоумышленников, должна принудительно сменить пароли от личных кабинетов пользователей, уведомив их об этом. Кроме того, нужно провести внутреннее расследование для выявления пути утечки и закрыть уязвимости.

    Роскомнадзор уже потребовал разъяснить утечку данных пользователей. По мнению представителей ведомства, то факт, чт компания не предупредила пользователей об опасности, ставит под угрозу безопасность всех пользователей интернет-магазина.

    Что касается возможных действий злоумышленников, получивших данные пользователей Ozon, то они, скорее всего, могли воспользоваться дополнительной информацией о клиентах онлайн-магазина. Эти данные подходят для проведения фишинговых атак.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 26

      +10

      То есть, до 2018 года пароли хранились в открытом виде, а виноваты все равно пользователи и вирусы. Чудненько.

        +5

        Меня это сразу насторожило, когда при восстановлении пароля прислали старый, а не сгенерировали новый. Сначала вообще был в шоке, как такое возможно, солить хэши чуть-ли не базовых учебниках по php советуют, а тут крупная компания...

          –2
          солить хэши чуть-ли не базовых учебниках по php советуют


          Крупная компания запилила свою базу ещё когда даже просто считать хеши не было мейнстримом.
            +6

            Охотно верю, что в 1998 году такие практики не были распостранены. Но неужели они не трогали систему аутентификации все 20 лет? Тем более это может быть прозрачно для пользователей — пароли менять никому не надо, поменяется только процесс восстановления.

              –2
              Работает — не трогай ;)
              Ну, и когда можно не генерировать новый пароль, а выслать существующий, удобно же :)
                0

                Как это ни странно, но хранением паролей в открытом виде страдал даже Яндекс.
                На рубеже тысячелетий создал сайт на Народе, потом, когда они продались Юкозу (несколько лет назад), решил восстановить доступ — прислали пароль открытым текстом.

                  0
                  Вк тоже, если помните)
                    0
                    Кто-то из операторов связи или интернета, которыми пользуюсь, тоже шлёт (и, соответственно, хранит) в открытом виде. Вот только было это с пол года назад, так что кто конкретно, без прохода по всем, я сейчас точно не скажу.
                  0
                  Пароль в Озоне — это было не просто поле в табличке, все гораздо сложнее. Поменять на тот момент прозрачно для пользователей не получилось бы.
                    0
                    Если есть как-то информация и нет нарушений NDA — поделитесь, пожалуйста?
                      0
                      Я пришел, когда уже все исправили. По факту, начав писать весь Озон заново, и начав именно с этой проблемы. Поэтому каких-то особых подробностей рассказать просто не смогу.
                  +1

                  1978 год Morris and Thompson's 1978 paper “Password Security: A Case History”
                  https://www.bell-labs.com/usr/dmr/www/passwd.ps

              +1
              На фоне слухов о рассмотрении возможности покупки Озона Сбербанком эта инфа воспринимается не однозначно.
              +2
              А логин/пароль являются перс. данными? Или роскомнадзор сам решает что именно в данный момент является ими?
                0

                Используя логин пароль, можно увидеть персональные данные пользователя.

                  0
                  Зная, что пистолет является огнестрельным оружием, еще никого не делает преступником
                    +1
                    Не совсем. Есть правила применения пистолета, и, скажем, появление с ним на публике без специальной бумажки, говорящей о том, что владелец прошёл курс по обращению с ним, во многих странах наказуемо.
                    Обладание парой логин-пароль само по себе не преступление, но а) организация утечки такой пары может посчитаться разглашением, и б) использование этой пары кем-либо для получения/использования чужих персональнх данных (увидеть адрес доставки или оплатить покупку сохранённой картой) преступлением будет.
                      0

                      Оператор персональных данных обязан обеспечивать сохранность этих данных от третьих лиц. Если он этого не делает или делает плохо, к нему могут применяться различные санкции, чтобы мотивировать исправить недостатки, таков закон. Утечка учеток пользователей вполне себе пример плохой защиты ПД.

                        0
                        Но если эта утечка — работа вредоносного ПО на стороне пользователей, тогда разве тоже виноват оператор ПД? Скорее всего нужен некий аудит работы компании с ПД.
                        0

                        Не знание, а наличие

                          0
                          Если у Вас украдут огнестрельное оружие и выяснится что вы его хранили ненадлежащим образом, то Вас привлекут к ответственности.
                      +2
                      Роскомнадзор уже потребовал разъяснить утечку данных пользователей.

                      Какой ужас, их же теперь наверное даже поругают за это!
                        +3
                        Девайслок прокомментировал
                        Вчера журналисты РБК из ничего создали очередную «сенсацию» про утечку паролей из онлайн магазина «Озон».

                        Журналистам «повезло» найти на одной из многочисленных помоек в интернете некий файл, который они описали так: “База, в которой содержатся адреса электронной почты и пароли почти от полумиллиона аккаунтов пользователей интернет-магазина Ozon”.

                        На самом деле они нашли текстовый файл – дамп логинов и паролей (в формате login:password), скорее всего с именем «[450k] Ozon.ru.txt», размером 13 Мб, содержащий 458351 запись (458352 с учетом битой строки).

                        Этот дамп был выложен в открытый доступ на одном из форумов (который одним из первых попадается в поиске Яндекс, где его вероятно и нашли журналисты РБК) — 21.11.2018. В реальности, данные из этого дампа «засветились» еще раньше в многочисленных подборках (combo) пар логин/пароль. В том числе пароли из этого дампа попали в наш анализ 4 млрд утекших паролей (https://www.devicelock.com/ru/blog/analiz-4-mlrd-parolej-chast-vtoraya.html).

                        Никакого интереса эти данные не представляют. Типично для подобного рода дампов – пароли простые, т.к. скорее всего восстановлены из хешей (обычно MD5 без соли). При таком способе сложные пароли просто не попадают в дамп.

                        Удивительно (на самом деле нет), что журналистов РБК не заинтересовала база данных клиентов «Озон» (файл «База клиентов интернет-магазина ОЗОН.РУ.xlsx», размером 189 Мб), датированная июлем 2017 года, в которой содержатся данные покупателей «Озон» за 2006-2017 гг в количестве 1,002,401 строк, в том числе ФИО, адрес, телефон.

                        Only users with full accounts can post comments. Log in, please.