Логины и пароли более 450 тыс. клиентов интернет-магазина Ozon оказались в открытом доступе, сообщает РБК.
По данным издания, база данных, содержащая свыше 450 тыс. пар e-mail и паролей от аккаунтов интернет-магазина Ozon, появилась на одном из сайтов, собирающих утечки данных. Сотрудники РБК проверили около ста случайных электронных адресов из базы с помощью сервиса Email Checker и установили, что все они актуальны. При этом пароли для входа в Ozon уже не действуют.
По словам ознакомившегося с базой эксперта в сфере кибербезопасности, утечка могла произойти ещё около полугода назад. Найденная база, по его словам, собрана из двух отдельных, оригиналы которых он нашёл на одном из хакерских форумов в ноябре 2018 года.
В Ozon заявили, что база данных, обнаруженная РБК, «ходит по сети уже достаточно давно».
«В свое время мы его также детально проверяли. В нем, насколько нам удалось разобраться, есть данные пользователей разных сервисов и в том числе достаточно старые данные некоторых пользователей Ozon, — пояснил представитель компании. — Судя по всему, эти данные попали в Сеть, потому что пользователи из списка использовали одинаковые пароли для разных сервисов. Мошенники также могли получить их в разное время при помощи вирусной атаки на компьютеры пользователей. Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании».
По словам консультанта по информационной безопасности Cisco Systems Алексея Лукацкого, пароли пользователей до утечки, вероятно, хранились в открытом виде.
«Если бы пароли были зашифрованы, то маловероятно, что кто-то смог бы их дешифровать и выложить в открытом виде. Если данная база не является фейком, то приходится признать, что хранились пароли в открытом виде. К сожалению, это является распространенной практикой», — сказал он.
По данным издания, Ozon никогда не сообщала о массовых утечках, однако в декабре 2018 года технический директор ритейлера Анатолий Орлов рассказывал, что в 2018 году в компанию пришла новая команда, усилившая безопасность, в том числе внедрившая хеширование паролей — технологию, при которой на сервере пароли хранятся только в зашифрованном виде.
В 2019 году произошло несколько утечек баз данных различных ритейлеров. Например, в марте 2019 года стало известно, что хакеры из исследовательской группы vpnMentor получили доступ к паспортным данным и банковским картам клиентов онлайн-магазина Gearbest.
В июне компания Device Lock рассказала об обнаружении в открытом доступе базы клиентов Inventive Retail Group, в частности паролей и логинов от личных кабинетов сетей Street Beat и Sony Centre.
Обновление 11 июля 2019 года. В пресс-службе Ozon указали, что доля аккаунтов клиентов компании в опубликованной базе данных «не превышает нескольких процентов». Там отметили, что большая часть из обнаруженных аккаунтов неактивна. Также в компании ещё раз подчеркнули, что ещё в прошлом году обнаружили эту базу данных и сбросили пароли всех скомпрометированных аккаунтов.
Подписывайтесь на наш канал в Telegram, чтобы первыми быть в курсе главных новостей ритейла.
Так у них пароли в открытом виде хранились в базе. Ничего удивительного.
Это просто ппц товарищи. Шел 2018 год , пароли в открытом виде. За такое надо наказывать компании большими штрафами!!