Данные 450 тысяч клиентов крупного российского онлайн-магазина попали в открытый доступ

Более 450 тысяч e-mail и паролей пользователей для входа в онлайн-магазин Ozon попали в открытый доступ. Инцидент произошел полгода назад, но компания о нем не сообщала, а сейчас настаивает, что часть данных утекла с других сайтов, сообщает РБК.  

База, в которой содержатся адреса электронной почты и пароли почти от полумиллиона аккаунтов пользователей интернет-магазина Ozon, на днях была выложена на одном из сайтов, собирающих утечки данных (копия базы есть в распоряжении редакции). Около сотни случайных e-mail из этой базы были проверены РБК с помощью сервиса Email Checker, все они актуальны. Однако указанные пароли для входа в Ozon уже не подходят.

Экcперт одной из компаний в сфере кибербезопасности, ознакомившийся с базой по просьбе РБК, сообщил, что утечка могла произойти еще полгода назад. По его словам, найденная база скомпилирована из двух других баз данных, оригиналы которых он обнаружил на одном из хакерских форумов в ноябре 2018 года (РБК убедился, что эти базы действительно размещены на этом форуме). Поэтому пароли, по его словам, могут быть уже неактуальны, так как компания должна была принять меры после обнаружения базы в открытом доступе.

В пресс-службе Ozon изданию TJ рассказали, что база «ходит» по сети довольно давно и её уже проверяли. Представители компании предположили, что данные попали в сеть, потому что пользователи использовали одни и те же пароли на разных сайтах или подверглись взлому.

«Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании», —  сообщили в пресс-службе Ozon. 

В декабре 2018 года стало известно, что Ozon почти 20 лет хранила пароли пользователей в открытом виде с недостаточным шифрованием. Об этом случайно проговорился техдиректор Ozon Анатолий Орлов на «Хабре».

По его словам, компания перешла на шифрование паролей с использованием хешей только в 2018 году. С тех пор Ozon не присылает пользователям пароли при восстановлении аккаунтов.

В разговоре с TJ Орлов отмечал, что даже до его прихода пароли хранились с использованием шифрования, но к ним «теоретически» могли получить доступ сотрудники, если имели доступ к базе и знали ключ кодирования.