Спецпроекты

В Сеть слиты полмиллиона логинов и паролей к магазину Ozon

2044
Безопасность Стратегия безопасности Пользователю Интернет E-commerce Веб-сервисы
Почти полмиллиона логинов и паролей, как минимум часть из которых относится к аккаунтам клиентов онлайн-магазина Ozon, попали в открытый доступ. Ритейлер считает, что жертвы утечки использовали одинаковые пароли для разных сервисов, а данные утекли в Сеть с других ресурсов.

Утечка данных клиентов Ozon

Данные пользователей российского интернет-магазина Ozon оказались в открытом доступе на одном из сайтов, собирающих утечки. База, в которой содержатся логины и пароли, насчитывает 450 тыс. учетных записей, пишет РБК.

Журналисты издания проверили около сотни случайных адресов. Они оказались все еще актуальными, но пароли для входа в Ozon не подошли.

По мнению эксперта в сфере кибербезопасности, опрошенного РБК, утечка могла произойти полгода назад, а оказавшаяся в распоряжении журналистов база данных скомпилирована из двух других, ранее найденных им на одном из хакерских форумов. Обнаружив базу в открытом доступе, по мнению специалиста, Ozon должен был сбросить пароли на скомпрометированных аккаунтах.

450 тыс. логинов и паролей, как минимум часть из которых относится к аккаунтам клиентов онлайн-магазина Ozon, попали в открытый доступ

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий в разговоре с РБК назвал три возможных сценария утечки данных: кража базы хакером, «слив» информации работником компании и доступность базы любому желающему в результате неправильно настроенного внешнего сервера. Кроме того, по его словам, существует вероятность того, что пароли пользователей на момент утечки хранились в незашифрованном виде.

Ozon прежде официально не сообщал об утечках или взломах, однако, как отмечает РБК, в декабре 2018 г. Анатолий Орлов, технический директор онлайн-ритейлера, заявил о модернизации системы восстановления паролей путем добавления в нее дополнительного шифрования.

Реакция Роскомнадзора

В Роскомнадзоре выразили обеспокоенность действиями Ozon в текущей ситуации, сообщил ТАСС. Ведомство планирует запросить у компании разъяснения относительно утечки данных клиентов.

В пресс-службе Роскомнадзора также отметили, что адрес электронной почты и пароль можно отнести к персональным данным, так как они «дают доступ к аккаунту клиента и позволяют несанкционированно получать дополнительную информацию о клиенте и совершать от его имени различные действия».

Ответ онлайн-ритейлера

Ozon сразу после обнаружения в открытом доступе файла с данными своих пользователей выполнил сброс скомпрометированных паролей и уведомил хозяев учетных записей об утечке, заверили РБК в пресс-службе ритейлера.

Также в Ozon заявили, что в базе, обнаруженной журналистами, содержится лишь небольшая доля паролей клиентов магазина, а остальные сведения относятся к учетным данным других сервисов.

Ответственность за инцидент в компании возложили на пользователей, данные которых, по предположению представителей онлайн-магазина, оказались в интернете из-за того, что владельцы скомпрометированных аккаунтов использовали одинаковые пароли для разных сервисов. Пароли могли быть похищены злоумышленниками при помощи вирусных атак, осуществленных в разное время, отметили в Ozon.

Несколько слов об Ozon

Интернет-магазин Ozon был создан в 1998 г. Изначально он торговал книгами и видеопродукцией, затем начал предлагать ассортимент товаров широкого профиля, включая электронику, товары для дома и сада, для мам и детей, для ремонта, для спорта и отдыха, красоты и здоровья, цифровые товары. Ozon – четвертый по величине российский интернет-магазин по итогам 2018 г. (оценка Data Insight).

Крупнейшими акционерами Ozon являются фонд Baring Vostok и АФК «Система» Владимира Евтушенкова. В феврале 2019 г. сотовый оператор МТС продал принадлежащие ему 18,7% акций Ozon. Покупателем выступила АФК «Система», которая является контролирующим акционером МТС. Сумма сделки составила $7,9 млрд руб.

В результате сейчас АФК «Система» напрямую владеет 19,3% акций Ozon. Еще 16,3% акций принадлежат венчурному фонду Sistema_VC, подконтрольному АФК «Система». Таким образом, корпорация контролирует 35,6% акций интернет-магазина. Между АФК «Система» и крупнейшим акционером Ozon — фондом Baring Vostok — существует соглашение, согласно которому ни у одной из сторон доля в интернет-магазине не вырастет больше 43%.

В начале июля 2019 г. стало известно, что Сбербанк рассматривает возможность покупки Ozon. Причиной интереса банка к компании якобы является то, что партнерство с «Яндексом» по созданию совместного маркетплейса складывается не так удачно, как предполагалось.

Другие случаи утечки данных

Утечки данных пользователей в последние годы перестали быть редкостью. К примеру, в январе 2019 г. владелец ресурса проверки паролей Have I Been Pwned Трой Хант (Troy Hunt) сообщил, что в интернете опубликована база данных, содержащая 1,1 млрд уникальных комбинаций адресов электронной почты и паролей. Это самая крупная коллекция электронных ящиков и паролей к ним, которая есть в открытом доступе.

В марте 2019 г. выяснилось, что десятки тысяч сотрудников компании могли иметь доступ к чужим страницам в Facebook и Instagram, поскольку пароли сотен миллионов пользователей хранились на серверах компании в незашифрованном виде. Причем наличие проблемы социальная сеть официально признала лишь после того, как сторонний специалист по информационной безопасности со связями внутри компании рассказал о ней в интернете. Представители соцсети утверждали, что незашифрованные пароли пользователей никогда не были доступны кому-либо за пределами компании. Случаев же недобросовестного использования столь чувствительной информации ее сотрудниками в ходе внутреннего расследования выявлено не было.

В 2013-2014 гг. произшли два крупных инцидента с компрометацией аккаунтов пользователей Yahoo: в первом фигурировали около полумиллиарда аккаунтов, во втором более миллиарда. Факт утечек компания признала только в 2016 г. Хакеры смогли получить имена, почтовые адреса, телефонные номера, даты рождения, хэшированные пароли (с использованием MD5) и, в некоторых случаях, зашифрованные и незашифрованные секретные вопросы и ответы. Ни пароли в незашифрованном виде, ни платежная или банковская информация хакерам не достались, уверяла компания.

В марте 2017 г. в киберподполье на продажу были выставлены логины и пароли к 25 млн аккаунтов Gmail и 5 млн аккаунтов Yahoo. Все эти данные были получены из крупных взломов прошлых лет, когда хакерам удавалось похитить миллионы почтовых логинов и паролей с серверов Myspace, Linkedin, Dropbox и других компаний.



Взгляд месяца

Государство должно получать данные напрямую из информсистем компаний

Савва Шипов

Замминистра Минэкономразвития

Стратегия месяца

Качеством медпомощи по системе ОМС занялся искусственный интеллект

Елена Сучкова

заместитель Председателя ФОМС