Комментарии 27
Новость особо интересно выглядит на фоне соседней новости об увеличении обращений граждан по отношению к персональным данным. От того же Роскомнадзора.
Зашли в ЛК с этим логином и паролем.
Списали ваш адрес и фио + всю инфу из ЛК.
Как шифровать адрес то?
У них это безопасно, потому что админ не умеет в программирование.
То есть скомпрометированы пары логин-пароль, может быть даже не на Озоне.
Под этим логин-паролем совершается вход и парсится доступная информация. Каким образом поможет шифрование?
И должны быть приняты какие-то меры, а получается OZON просто не хочет что-бы его пользователи были в безопасности.
Это крайне маловероятно. И поэтому интересно кто же эти эксперты по безопасности со своими странными предположениями о происхождении базы. Озон вполне разумно объясняет происхождение. И такие "сливы" происходят из года в год.
Я возможно не слишком ясно выразился. Я думаю, у Озона пароли в БД посолены и хешированы как положено. Поэтому слив базы мог бы привести к разглашению каких-то персональных данных (которые хранятся открыто), но не паролей, как считают эти странные "эксперты".
Озон настаивает, что пароли получены иными способами. И скорее всего это действительно так. Просто пароли юзеры используют одни и те же, так что некоторые и к Озону подходят. Такие обвинения несколько лет назад огребал и Яндекс, и Мейлру, и Гмейл. Это желтая сенсация, а заголовок создает ощущение, что РКН покрывает Озон, что увеличивает жаренность втрое.
Никто не подымает отдельный сервер с отдельными правами, для каждого пользователя.
Это все понятно. 100% зашиты нет. Но мы можем максимально усложнить доступ к данным. Свести доступы к ключам и данным, минимуму количеству людей, тогда найти виноватого и причину проще. Чем если у всего отдела разработки, QA, аналитиков… есть доступ к перс.данным пользователя, и оправдывается, да тут любой мог слить БД.
Запутанность, ничего не решает. С центральным доступом, шифрование дополнительные расходы, но защиту надо продумывать, конечно.
Так, откуда у тебя доступ к проду:) в современной жизни есть доступ к проду, в больших компаниях у 1-2 людей и у автодеплойки.
На сколько я помню, может я ошибаюсь, без привилегий в docker память не прочитать. Я ошибаюсь?
1. Если у тебя уязвимость или доступ полный через app server (application) — т.е. можешь вставлять любой код, то у тебя полный доступ ко всему, что есть у application, а именно db.
2. Если у тебя доступ к root машины, то у тебя автоматом доступ ко всем приложениям.
Остальные варианты, сложны и надо рассматривать отдельно, но эти взломы и реже встречаются. Это больше похоже, как взломать одно приложение, если ты получил доступ к другому, чаще всего нельзя. Docker мне кажется не влияет существенно.
Мы пока не знаем плюет ли Озон на безопасность данных пользователей.
Факт файла со списком пользователей и словом ozon в названии ещё ни о чем не говорит. Один мой старый e-mail был среди утёкших данных какого-то американского сайта о котором я ни разу не слышал. Там тоже говорили, что данные были скомпонованы и представлены так будто утекла база того сайта.
В данном случае Озон заявляет, что только часть e-mail’ов принадлежит его пользователям.
Роскомнадзор не считает утечку сотен тысяч учетных записей клиентов Ozon нарушением прав пользователей