Технологии
Дамир Камалетдинов

Техдиректор Ozon.ru в комментариях на «Хабре» проговорился, что сервис впервые перестал присылать пароли в открытом виде

До этого компания на протяжении 20 лет отправляла пароли при восстановлении профиля обычным текстом.

Обновлено в 18:00: Техдиректор Ozon.ru рассказал TJ, что пароли пользователей всегда хранились в зашифрованном виде.

Технический директор Ozon.ru Анатолий Орлов в комментариях на «Хабре» рассказал, что интернет-магазин впервые за 20 лет работы перестал присылать пароли в открытом виде. По словам топ-менеджера, это было первое, что он попросил «починить к **** [хренам]», когда вышел на работу в апреле 2018 года. На это обратили внимание в Telegram-канале G33ks.

Anatolix — Анатолий Орлов Скриншот Telegram-канала G33ks

Техдиректор проговорился о переходе на новую систему восстановления паролей под одним из материалов компании. На момент написания заметки комментарии уже удалили, вероятно, из-за мата, который запрещён в обсуждениях на «Хабре». Аккаунт пользователя Anatolix (под таким же ником Орлов зарегистрирован на Фейсбуке) перевели в статус read-only.

В пресс-службе Ozon.ru пояснили, что комментарии на скриншоте вырваны из контекста. Анатолий Орлов рассказал TJ, что пароли пользователей всегда хранились в зашифрованном виде в базе данных. По его словам, доступ к ним могли получить лишь сотрудники «да и то, теоретически». Он пояснил, что в 2018 году сервис впервые начал использовать шифрование с использованием хэшей, которое гарантирует невозможность расшифровки пароля из базы данных.

Раньше, если пользователь восстанавливал пароль с привязанной к аккаунту почты, OZON ему этот пароль присылал ответным письмом. При этом в базе пароли хранились в кодированном виде. Не в открытом доступе Эксель-табличке, а в виде кода. Это означает, что получить эти пароли мог — да и то теоретически — сотрудник компании, у которого был доступ в базу и ключ кодирования.

В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Сейчас все пароли пользователей хранятся в хэшированном виде (aka “закодированные необратимым образом”) — от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно. Лучше всего оберегаются те секреты, которые ты сам не знаешь.

Анатолий Орлов

На момент написания заметки сервис действительно перестал присылать пароли в открытом виде. Редактор TJ попытался восстановить пароль и получил от интернет-магазина сообщение со ссылкой на смену пароля.

Ещё в 2012 году пользователи «Хабра» раскритиковали Ozon.ru за хранение паролей в открытом виде. Один из них попытался восстановить доступ к профилю и получил старый пароль в письме.

Как тогда отмечали пользователи, хранение пароля в открытом виде может представлять угрозу для пользователей, так как злоумышленнику достаточно будет украсть базу данных один раз, чтобы получить доступ сразу ко всем аккаунтам. Кроме того, в случае использования одних и тех же паролей появляется риск взлома профилей на других сервисах.

#взломы #пароли #технологии #новость #бизнес