Роскомнадзор не считает утечку сотен тысяч учетных записей клиентов Ozon нарушением прав пользователей

[gudvinr]

Новость особо интересно выглядит на фоне соседней новости об увеличении обращений граждан по отношению к персональным данным. От того же Роскомнадзора.

[lesha_firs]

Я что-то не пойму. получается база не шифруется у OZON?

[mapatka]

Ну банально — логин пароль украли от личного кабинета (ЛК).
Зашли в ЛК с этим логином и паролем.
Списали ваш адрес и фио + всю инфу из ЛК.
Как шифровать адрес то?

[lesha_firs]

мы шифруем email, адрес, телефон, и т.д. это вроде безопасно. Даже соблазна нет, админу продать БД.

[mapatka]

То есть вы не отдаете эти данные пользователю в личном кабинете?

[freeExec]

У них это безопасно, потому что админ не умеет в программирование.

[lesha_firs]

отображаем, но это не значит что в БД лежит в открытом виде ваш емайл

[mapatka]

Я же написал вам пример, который, как я понял, указан в статье.
То есть скомпрометированы пары логин-пароль, может быть даже не на Озоне.
Под этим логин-паролем совершается вход и парсится доступная информация. Каким образом поможет шифрование?

[lesha_firs]

я понимаю 1 или 2 пользователя, но целая база логин/пароль. это не оплошность и не случайность, это направлена атака, или кража данных из БД, ну или неквалифицированный отдел разработки/qa/отдел безопасности.

И должны быть приняты какие-то меры, а получается OZON просто не хочет что-бы его пользователи были в безопасности.

[Iv38]

Это крайне маловероятно. И поэтому интересно кто же эти эксперты по безопасности со своими странными предположениями о происхождении базы. Озон вполне разумно объясняет происхождение. И такие "сливы" происходят из года в год.

[lesha_firs]

OZON не маленькая компания, странно, что у них нет отдела безопасности, ну, или они уровня middle, что не предают этому должного внимания.

[Iv38]

Я возможно не слишком ясно выразился. Я думаю, у Озона пароли в БД посолены и хешированы как положено. Поэтому слив базы мог бы привести к разглашению каких-то персональных данных (которые хранятся открыто), но не паролей, как считают эти странные "эксперты".

Озон настаивает, что пароли получены иными способами. И скорее всего это действительно так. Просто пароли юзеры используют одни и те же, так что некоторые и к Озону подходят. Такие обвинения несколько лет назад огребал и Яндекс, и Мейлру, и Гмейл. Это желтая сенсация, а заголовок создает ощущение, что РКН покрывает Озон, что увеличивает жаренность втрое.

[lesha_firs]

Я в ветки ниже, что-то подобное обсуждаю, не буду дублировать.

[vics001]

Зачем шифровать базу? К базе всегда есть доступ от сервера, по определению, через который все и утекает.
Никто не подымает отдельный сервер с отдельными правами, для каждого пользователя.

[lesha_firs]

вообще. ключи пользователя лежать отдельно, а перс.данные лежат отдельно и шифруются (ну вообще должны шифроваться). тогда слива не будет… или по крайней мере, будет меньше инцидентов. стремно, что крупная компания OZON плюет на безопасность перс.данных пользователя.

[vics001]

Я вас умаляю, на практике нигде не видел, чтобы на 100% так работало. В любом случае, application server имеет доступ ко всем учеткам. Проверить это легко, если дешифрационный ключ хранится где-нибудь на сервере кроме cookie, то доступ есть и шифировать абсолютно бесполезно.

[lesha_firs]

Это все понятно. 100% зашиты нет. Но мы можем максимально усложнить доступ к данным. Свести доступы к ключам и данным, минимуму количеству людей, тогда найти виноватого и причину проще. Чем если у всего отдела разработки, QA, аналитиков… есть доступ к перс.данным пользователя, и оправдывается, да тут любой мог слить БД.

[vics001]

Зачем? Я как программист 100% знаю, что application server имеет доступ к базе данных, следовательно, получив, доступ к системе и процессу app server, я точно получу полную БД. Так, что либо уязвимость в app server, либо из памяти можно прочитать и выполнить любой запрос.

Запутанность, ничего не решает. С центральным доступом, шифрование дополнительные расходы, но защиту надо продумывать, конечно.

[lesha_firs]

Так, откуда у тебя доступ к проду:) в современной жизни есть доступ к проду, в больших компаниях у 1-2 людей и у автодеплойки.

[lesha_firs]

И наказать 2х людей проще чем всех разработчиков:)

[lesha_firs]

На сколько я помню, может я ошибаюсь, без привилегий в docker память не прочитать. Я ошибаюсь?

[vics001]

Проще думать от уязвимости:
1. Если у тебя уязвимость или доступ полный через app server (application) — т.е. можешь вставлять любой код, то у тебя полный доступ ко всему, что есть у application, а именно db.
2. Если у тебя доступ к root машины, то у тебя автоматом доступ ко всем приложениям.

Остальные варианты, сложны и надо рассматривать отдельно, но эти взломы и реже встречаются. Это больше похоже, как взломать одно приложение, если ты получил доступ к другому, чаще всего нельзя. Docker мне кажется не влияет существенно.

[ialexander]

Мы пока не знаем плюет ли Озон на безопасность данных пользователей.

Факт файла со списком пользователей и словом ozon в названии ещё ни о чем не говорит. Один мой старый e-mail был среди утёкших данных какого-то американского сайта о котором я ни разу не слышал. Там тоже говорили, что данные были скомпонованы и представлены так будто утекла база того сайта.

В данном случае Озон заявляет, что только часть e-mail’ов принадлежит его пользователям.

[Umpiro]

То есть 'поскольку по поводу утечки ПД в суд никто не обращается, обращаться в суд по этому поводу Роскомнадзор не советует.'?