РБК: логины и пароли 450 тысяч пользователей Ozon оказались в открытом доступе

Данные пользователей интернет-магазина Ozon полгода назад оказались в открытом доступе, но об утечке информации 450 тысяч учётных записей с адресами электронных почт, логинами и паролями стало известно только сейчас.

По данным РБК, соответствующая база данных на днях появилась на одном из сайтов, который собирает утечки данных. Журналисты издания проверили около сотни случайных электронных адресов при помощи сервиса Email Checker — все они оказались актуальными, однако пароли для входа в учётные записи интернет-магазина уже не подходили.

Эксперт одной из компаний в сфере кибербезопасности заявил, что утечка могла произойти полгода назад — по его словам, база была скомпилирована из двух других баз, которые он нашёл в открытом доступе на «хакерских форумах» ещё в ноябре 2018 года. Такой давний срок может стать объяснением причины, по которой пароли к учётным записям уже не актуальны: Ozon к концу 2018 года должен был устранить проблему.

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий рассказал, что существуют только три причины, по которым данные 450 тысяч аккаунтов пользователей Ozon могли попасть в открытый доступ: их опубликовали сотрудники интернет-магазина, их украли хакеры или случились неполадки из-за неправильно настроенного сервера.

Тем не менее, в ответ на жалобу девушки, которая в конце ноября 2018 года обнаружила взлом своей учётной записи в интернет-магазине, в техподдержке Ozon уверяли, что в таких случаях пользователи сами виноваты во взломе:

Данные оказались скомпрометированы в результате взлома одного из ваших аккаунтов в онлайн-сервисах либо заражения вашего компьютера или мобильного устройства вредоносным ПО и использованы посторонним лицом для доступа к вашему аккаунту на Ozon.ru.

Сейчас же в пресс-службе Ozon говорят, что обнаруженная РБК база по Сети «гуляла» уже давно — сотрудники интернет-магазина проверяли её. В компании подчёркивают, что данные могли попасть в открытый доступ из-за того, что пользователи использовали одни и те же пароли в разных сервисах или же просто подверглись взлому:

Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании.

Стоит отметить, что лишь в конце 2018 года Ozon обновил свою систему восстановления паролей, подключив к ней дополнительное шифрование. Что интересно, до этого почти 20 лет подряд интернет-магазин хранил пароли пользователей в открытом виде без должного шифрования: в базе интернет-магазина пароли всегда хранились в кодированном виде.

Технический директор Ozon Анатолий Орлов в разговоре с TJournal предполагал, что «теоретически» получить эти пароли мог лишь «сотрудник компании, у которого был доступ в базу и ключ кодирования»:

Сейчас все пароли пользователей хранятся в хешированном виде: от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно. Лучше всего оберегаются те секреты, которые ты сам не знаешь, — заявлял технический директор Ozon Анатолий Орлов.