Как стать автором
Обновить

Хранение паролей в Ozon.ru

Время на прочтение1 мин
Количество просмотров11K
Недели две назад на Хабре обсуждался взлом паролей на Linkedin. Типа, алгоритм шифрования старый, соль не используется и т.д. Это все мелочи.

Решил я вспомнить пароль от своего аккаунта на Озоне (давно не заходил туда, около двух лет). В соответствующей форме внес свой email и вот, что получил:



Здравствуйте, <мое имя>!

Вы зарегистрированы в интернет-магазине OZON.ru!

Ваш логин: <мой логин>
Ваш пароль: <мой старый пароль, который я действительно использовал>

Вы всегда можете поменять свой пароль в разделе «Мой OZON».


Действующий пароль выслан в открытом виде! Это означает одно из двух:

1. Пароли в Озоне хранятся в БД в незашифрованном виде
2. Используется «левый» алгоритм шифрования (без использования хэшей), который позволяет восстановить пароль зная сам алгоритм и зашифрованный пароль.

Не поверив своим глазам, я написал email в техподдержку Озона с описанием проблемы. В ответ получил вот такое:

Добрый день, <мое имя>!

Вы в любой момент самостоятельно можете получить Ваш пароль и логин.

Для этого достаточно зайти на страницу www.ozon.ru/?context=forgotpassword и в форме «забыли пароль?» ввести Ваш E-mail.

Логин и пароль будут автоматически высланы на Ваш электронный адрес.

Информация о логинах и паролях высылается по запросу каждого клиента индивидуально.

Данная информация является сугубо конфиденциальной.

Надеемся на Ваше понимание.

С уважением, <имя сотрудника Озона>
Специалист Службы по работе с клиентами
Онлайн-мегамаркет №1 OZON.ru
www.ozon.ru


Собственно, больше добавить нечего.
Теги:
Хабы:
Всего голосов 102: ↑73 и ↓29+44
Комментарии97

Публикации

Истории

Работа

Ближайшие события

Антиконференция X5 Future Night
Дата30 мая
Время11:00 – 23:00
Место
Онлайн
OTUS CONF: GameDev
Дата30 мая
Время19:00 – 20:30
Место
Онлайн
Конференция «IT IS CONF 2024»
Дата20 июня
Время09:00 – 19:00
Место
Екатеринбург
Summer Merge
Дата28 – 30 июня
Время11:00
Место
Ульяновская область