Обновление: Добавлен комментарий Роскомнадзора

Более 450 тысяч логинов и паролей пользователей интернет-магазина Ozon попали в открытый доступ. «РБК» обнаружил соответствующую базу данных на сайте, собирающем утечки.

Журналисты издания проверили около 100 случайных электронных адресов из базы и подтвердили их актуальность, хотя пароли для входа в аккаунты Ozon не подошли.

По словам собеседника «РБК», работающего в сфере кибербезопасности, найденная база состоит из двух других, которые уже публиковали на одном из хакерских форумов в ноябре. По этой причине пароли могут быть неактуальны: компания должна была принять меры после обнаружения утечки, отметил специалист.

Официально Ozon не сообщал об утечках или взломах, хотя в декабре рассказывал об улучшении системы восстановления паролей. До этого некоторые пользователи сервиса жаловались на взлом аккаунта, на что компания отвечала, что они сами в этом виноваты.

Теперь представители ретейлера заявили «РБК», что давно проверили базу данных и установили, что в ней есть логины и пароли пользователей разных сервисов, в том числе «достаточно старые данные некоторых пользователей Ozon».

«Судя по всему, эти данные попали в Сеть, потому что пользователи из списка использовали одинаковые пароли для разных сервисов. Мошенники также могли получить их в разное время при помощи вирусной атаки на компьютеры пользователей. Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon», — подчеркнули в пресс-службе ретейлера.

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий назвал три сценария, как могли утечь данные. По его словам, базу либо слил сотрудник Ozon, либо украл хакер, залезший внутрь компании. Третий вариант — некорректно настроенный внешний сервер, открывающий доступ к базе любому желающему.

Лукацкий также отметил, что ретейлер, вероятно, хранил пароли пользователей в открытом виде. «Если бы пароли были зашифрованы, то маловероятно, что кто-то смог бы их дешифровать и выложить в открытом виде», — пояснил он.


UPD (11 июля, 09:53): Роскомнадзор потребует от Ozon объяснений из-за утечки данных. В ведомстве отметили, что компания своевременно не предупредила об утечке, что ставит под угрозу безопасность пользователей сервиса.


The Village рассказывал, как защитить свои данные в интернете. Также мы сравнивали, как реагируют на утечки данных в России и за рубежом.


Источник: «РБК»