Новости
Дамир Камалетдинов

РБК: логины и пароли 450 тысяч пользователей Ozon оказались в открытом доступе

Утечка могла произойти ещё полгода назад, но о ней не сообщали.

Данные пользователей интернет-магазина Ozon оказались в открытом доступе. В базе содержится информация о 450 тысяч аккаунтов с адресами электронных почт и паролями. На утечку обратили внимание в РБК.

Издание изучило копию базы и выяснило, что адреса электронных почт в ней до сих пор актуальны. При этом пароли для входа в Ozon уже не подходят.

В пресс-службе Ozon рассказали TJ, что база «ходит» по сети довольно давно и её уже проверяли. Представители компании предположили, что данные попали в сеть, потому что пользователи использовали одни и те же пароли на разных сайтах или подверглись взлому.

Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании.

пресс-служба Ozon

По словам опрошенного РБК эксперта по кибербезопасности, пожелавшего остаться анонимным, утечка могла произойти ещё полгода назад. Собеседник издания отметил, что база состоит из данных в двух других базах, оригиналы которых появились на хакерских форумах в ноябре 2018 года.

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий рассказал РБК, что данные могли попасть в сеть только по трём причинам: если их опубликовали сотрудники Ozon, украли хакеры, проникшие в компанию, или из-за неправильно настроенного сервера.

Кроме того, эксперт считает, что причиной могло стать хранение паролей в открытом виде. По словам Лукацкого, в случае шифрования пароли не смогли бы декодировать.

В декабре 2018 года стало известно, что Ozon почти 20 лет хранила пароли пользователей в открытом виде с недостаточным шифрованием. Об этом случайно проговорился техдиректор Ozon Анатолий Орлов на «Хабре».

По его словам, компания перешла на шифрование паролей с использованием хешей только в 2018 году. С тех пор Ozon не присылает пользователям пароли при восстановлении аккаунтов.

В разговоре с TJ Орлов отмечал, что даже до его прихода пароли хранились с использованием шифрования, но к ним «теоретически» могли получить доступ сотрудники, если имели доступ к базе и знали ключ кодирования.

#утечки #ozon #безопасность #Новости