Информационная безопасность
11 июля 2019

Персональные данные более 450 тыс. пользователей Ozon утекли в сеть. Роскомнадзор просит объясниться


Фото: Евгений Разумный / Ведомости / ТАСС

Журналисты РБК обнаружили в открытом доступе базу данных, которая содержит адреса электронной почты и пароли от примерно полумиллиона учетных записей пользователей интернет-магазина Ozon. На днях база была выложена на одном из сайтов, который собирает утечки.

При проверке примерно сотни учеток при помощи сервиса Email Checker, оказалось, что это актуальные аккаунты. Впрочем, пароли для входа уже не подходят, насколько можно понять, пользователи их сменили. Представители Ozon заявляют, что утечка, скорее всего, произошла еще полгода назад. По словам представителей компании, обнаруженная журналистами база состоит из двух баз, оригиналы которых впервые появились на одном из хакерских форумов в ноябре прошлого года.

Ozon никогда не сообщал об утечках или взломах, тем более, успешных. Единственное свидетельство того, что взлом все же произошел — слова технического директора компании Анатолия Орлова. Он заявил, что система восстановления паролей была изменена, разработчики добавили в нее шифрование.

«В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Сейчас все пароли пользователей хранятся в хешированном виде («закодированные необратимым образом»): от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно. Лучше всего оберегаются те секреты, которые ты сам не знаешь», — прокомментировал Орлов изменение технологии.

В интернете также удалось обнаружить единичные жалобы от пользователей Ozon на взлом своих аккаунтов. Но компания тогда заявила, что во взломе виноваты сами пользователи: «Данные оказались скомпрометированы в результате взлома одного из ваших аккаунтов в онлайн-сервисах либо заражения вашего компьютера или мобильного устройства вредоносным ПО и использованы посторонним лицом для доступа к вашему аккаунту на Ozon.ru».

По словам представителей Ozon, компания ведет мониторинг подозрительной активности в сети, и базу эту видели ее сотрудники. «Файл, о котором вы говорите, ходит по Сети уже достаточно давно, и в свое время мы его также детально проверяли. В нем, насколько нам удалось разобраться, есть данные пользователей разных сервисов и в том числе достаточно старые данные некоторых пользователей Ozon. Судя по всему, эти данные попали в Сеть, потому что пользователи из списка использовали одинаковые пароли для разных сервисов. Мошенники также могли получить их в разное время при помощи вирусной атаки на компьютеры пользователей. Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании», — сообщил представитель Ozon.

По словам экспертов по информационной безопасности, данные в сеть могли попасть согласно трем сценариям. Первый — человеческий фактор, то есть кто-то из сотрудников Ozon выложил базу или отдал (продал) ее злоумышленникам. Кроме того, ее мог заполучить взломщик, плюс причиной утечки мог стать и неправильно настроенный внешний сервер, который был открыт внешнему миру.

Специалисты считают, что пароли пользователей на момент утечки могли храниться в открытом виде. Если бы они были зашифрованы, то вряд ли кто-либо смог бы их расшифровать. Подобная практика, по мнению экспертов, является достаточно распространенной.

Ozon могут наказать


По словам юристов, данные, которые утекли в сеть, являются персональными данными граждан РФ. Согласно закону «О персональных данных» компания, которая хранит учетные записи, обязана обеспечивать сохранность и конфиденциальность, а также устранять риски утечки. Если к последней привела халатность оператора, то его можно привлечь к административной ответственности. «Статьей 13.11 КоАП за такое нарушение предусмотрен штраф для юридических лиц в размере от 30 тыс. до 50 тыс. руб., который в масштабах бизнеса Ozon можно назвать незначительным», — уточнил партнер юридической компании НАФКО Павел Иккерт.

Правда, прежде, чем назначить наказание, Роскомнадзор придется установить наличие состава нарушения. А именно -требуется доказать, что причиной утечки являются действия или бездействие оператора. Сделать это довольно сложно, особенно в том случае, если утечка является результатом атаки хакеров.

Пострадавшие пользователи могут подать в суд, требуя не только возместить материальный ущерб, но и ущерб моральный. Правда, во втором случае могут быть сложности, поскольку оценить размер морального ущерба всегда тяжело.

Игроки рынка считают, что компания, которая подверглась атакам злоумышленников, должна принудительно сменить пароли от личных кабинетов пользователей, уведомив их об этом. Кроме того, нужно провести внутреннее расследование для выявления пути утечки и закрыть уязвимости.

Роскомнадзор уже потребовал разъяснить утечку данных пользователей. По мнению представителей ведомства, то факт, чт компания не предупредила пользователей об опасности, ставит под угрозу безопасность всех пользователей интернет-магазина.

Что касается возможных действий злоумышленников, получивших данные пользователей Ozon, то они, скорее всего, могли воспользоваться дополнительной информацией о клиентах онлайн-магазина. Эти данные подходят для проведения фишинговых атак.

+16
8,9k 3
Комментарии 26

Рекомендуем