Фото: Артем Геодакян / ТАСС
Представители Роскомнадзора заявили, что компрометация около 30 тысяч аккаунтов клиентов онлайн-магазина Ozon не привела к нарушению прав пользователей. Об этом заявил Вадим Ампелонский: «Поскольку потока обращений клиентов Ozon в уполномоченный орган мы не зафиксировали, Роскомнадзор считает, что факт компрометации 30 тыс. клиентских аккаунтов не привел к фактическому нарушению прав субъектов персональных данных».
По его словам, ведомство активно сотрудничало с Ozon, для того, чтобы проверить сведения об утечке данных 400 тысяч клиентов. Роскомнадзор пояснил, что в ходе проверки онлайн-магазин представил доказательства несущественности утекших в интернет данных. База была скомпилирована из разных источников, и более 90% этой БД содержит созданные автоматически пароли.
Около 30 тысяч пар «логин-пароль» оказались подлинными". Ozon предоставил ведомству отчет, в котором говорится, что после обнаружения базы данных в открытом доступе компания заменила все пароли, уведомив об этом пользователей.
Ампелонский сообщил, что, согласно Европейской конвенции по защите прав субъектов персональных данных, к которой присоединилась и Россия, операторы персональных данных должны уведомлять уполномоченные органы о факта утечек. Эта норма будет добавлена в российское законодательство.
Ранее компания заявила следующее по поводу утечки: «Файл, о котором вы говорите, ходит по Сети уже достаточно давно, и в свое время мы его также детально проверяли. В нем, насколько нам удалось разобраться, есть данные пользователей разных сервисов и в том числе достаточно старые данные некоторых пользователей Ozon. Судя по всему, эти данные попали в Сеть, потому что пользователи из списка использовали одинаковые пароли для разных сервисов. Мошенники также могли получить их в разное время при помощи вирусной атаки на компьютеры пользователей. Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании».
Эксперты по сетевой безопасности считают, что данные в сеть могли попасть тремя путями. Первый — чисто человеческий фактор, то есть сотрудник или сотрудники Ozon выложили базу или продали ее злоумышленникам. Второй путь — взлом инфраструктуры, третий — неправильно настроенный внешний сервер, который был открыт внешнему миру.
Юристы не совсем согласны с Роскомнадзором. Так, по мнению некоторых специалистов, данные, которые утекли в сеть, являются персональными данными граждан РФ. Согласно закону «О персональных данных» компания, которая хранит учетные записи, обязана обеспечивать сохранность и конфиденциальность, а также устранять риски утечки. Если к последней привела халатность оператора, то его можно привлечь к административной ответственности. «Статьей 13.11 КоАП за такое нарушение предусмотрен штраф для юридических лиц в размере от 30 тыс. до 50 тыс. руб., который в масштабах бизнеса Ozon можно назвать незначительным», — уточнил партнер юридической компании НАФКО Павел Иккерт.
Но для того, чтобы назначить наказание, Роскомнадзору необходимо установить наличие состава преступления. Поскольку ведомство не нашло ничего противозаконного, скорее всего, на этом история и закончится.
