27 июня 2012

Хранение паролей в Ozon.ru

Информационная безопасность
Недели две назад на Хабре обсуждался взлом паролей на Linkedin. Типа, алгоритм шифрования старый, соль не используется и т.д. Это все мелочи.

Решил я вспомнить пароль от своего аккаунта на Озоне (давно не заходил туда, около двух лет). В соответствующей форме внес свой email и вот, что получил:



Здравствуйте, <мое имя>!

Вы зарегистрированы в интернет-магазине OZON.ru!

Ваш логин: <мой логин>
Ваш пароль: <мой старый пароль, который я действительно использовал>

Вы всегда можете поменять свой пароль в разделе «Мой OZON».


Действующий пароль выслан в открытом виде! Это означает одно из двух:

1. Пароли в Озоне хранятся в БД в незашифрованном виде
2. Используется «левый» алгоритм шифрования (без использования хэшей), который позволяет восстановить пароль зная сам алгоритм и зашифрованный пароль.

Не поверив своим глазам, я написал email в техподдержку Озона с описанием проблемы. В ответ получил вот такое:

Добрый день, <мое имя>!

Вы в любой момент самостоятельно можете получить Ваш пароль и логин.

Для этого достаточно зайти на страницу www.ozon.ru/?context=forgotpassword и в форме «забыли пароль?» ввести Ваш E-mail.

Логин и пароль будут автоматически высланы на Ваш электронный адрес.

Информация о логинах и паролях высылается по запросу каждого клиента индивидуально.

Данная информация является сугубо конфиденциальной.

Надеемся на Ваше понимание.

С уважением, <имя сотрудника Озона>
Специалист Службы по работе с клиентами
Онлайн-мегамаркет №1 OZON.ru
www.ozon.ru


Собственно, больше добавить нечего.
Теги:Озонпарольбезопасность в сети
Хабы: Информационная безопасность
+44
7,8k 23
Комментарии 97
Похожие публикации
Безопасность Linux
12 февраля 202130 000 ₽OTUS
Введение в SQL
7 декабря 202017 100 ₽Luxoft Training
Введение в программирование
7 декабря 202032 200 ₽Учебный центр Softline
Product Owner: Разработка требований в Agile
12 декабря 20209 000 ₽Школа системного анализа
Лучшие публикации за сутки