Спецпроекты

Безопасность Пользователю Стратегия безопасности Интернет E-commerce Веб-сервисы Маркет

В Сеть слиты полмиллиона логинов и паролей к магазину Ozon

Почти полмиллиона логинов и паролей, как минимум часть из которых относится к аккаунтам клиентов онлайн-магазина Ozon, попали в открытый доступ. Ритейлер считает, что жертвы утечки использовали одинаковые пароли для разных сервисов, а данные утекли в Сеть с других ресурсов.

Утечка данных клиентов Ozon

Данные пользователей российского интернет-магазина Ozon оказались в открытом доступе на одном из сайтов, собирающих утечки. База, в которой содержатся логины и пароли, насчитывает 450 тыс. учетных записей, пишет РБК.

Журналисты издания проверили около сотни случайных адресов. Они оказались все еще актуальными, но пароли для входа в Ozon не подошли.

По мнению эксперта в сфере кибербезопасности, опрошенного РБК, утечка могла произойти полгода назад, а оказавшаяся в распоряжении журналистов база данных скомпилирована из двух других, ранее найденных им на одном из хакерских форумов. Обнаружив базу в открытом доступе, по мнению специалиста, Ozon должен был сбросить пароли на скомпрометированных аккаунтах.

450 тыс. логинов и паролей, как минимум часть из которых относится к аккаунтам клиентов онлайн-магазина Ozon, попали в открытый доступ

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий в разговоре с РБК назвал три возможных сценария утечки данных: кража базы хакером, «слив» информации работником компании и доступность базы любому желающему в результате неправильно настроенного внешнего сервера. Кроме того, по его словам, существует вероятность того, что пароли пользователей на момент утечки хранились в незашифрованном виде.

Ozon прежде официально не сообщал об утечках или взломах, однако, как отмечает РБК, в декабре 2018 г. Анатолий Орлов, технический директор онлайн-ритейлера, заявил о модернизации системы восстановления паролей путем добавления в нее дополнительного шифрования.

Реакция Роскомнадзора

В Роскомнадзоре выразили обеспокоенность действиями Ozon в текущей ситуации, сообщил ТАСС. Ведомство планирует запросить у компании разъяснения относительно утечки данных клиентов.

В пресс-службе Роскомнадзора также отметили, что адрес электронной почты и пароль можно отнести к персональным данным, так как они «дают доступ к аккаунту клиента и позволяют несанкционированно получать дополнительную информацию о клиенте и совершать от его имени различные действия».

Ответ онлайн-ритейлера

Ozon сразу после обнаружения в открытом доступе файла с данными своих пользователей выполнил сброс скомпрометированных паролей и уведомил хозяев учетных записей об утечке, заверили РБК в пресс-службе ритейлера.

Также в Ozon заявили, что в базе, обнаруженной журналистами, содержится лишь небольшая доля паролей клиентов магазина, а остальные сведения относятся к учетным данным других сервисов.

Ответственность за инцидент в компании возложили на пользователей, данные которых, по предположению представителей онлайн-магазина, оказались в интернете из-за того, что владельцы скомпрометированных аккаунтов использовали одинаковые пароли для разных сервисов. Пароли могли быть похищены злоумышленниками при помощи вирусных атак, осуществленных в разное время, отметили в Ozon.

Несколько слов об Ozon

Интернет-магазин Ozon был создан в 1998 г. Изначально он торговал книгами и видеопродукцией, затем начал предлагать ассортимент товаров широкого профиля, включая электронику, товары для дома и сада, для мам и детей, для ремонта, для спорта и отдыха, красоты и здоровья, цифровые товары. Ozon – четвертый по величине российский интернет-магазин по итогам 2018 г. (оценка Data Insight).

Крупнейшими акционерами Ozon являются фонд Baring Vostok и АФК «Система» Владимира Евтушенкова. В феврале 2019 г. сотовый оператор МТС продал принадлежащие ему 18,7% акций Ozon. Покупателем выступила АФК «Система», которая является контролирующим акционером МТС. Сумма сделки составила $7,9 млрд руб.

В результате сейчас АФК «Система» напрямую владеет 19,3% акций Ozon. Еще 16,3% акций принадлежат венчурному фонду Sistema_VC, подконтрольному АФК «Система». Таким образом, корпорация контролирует 35,6% акций интернет-магазина. Между АФК «Система» и крупнейшим акционером Ozon — фондом Baring Vostok — существует соглашение, согласно которому ни у одной из сторон доля в интернет-магазине не вырастет больше 43%.

В начале июля 2019 г. стало известно, что Сбербанк рассматривает возможность покупки Ozon. Причиной интереса банка к компании якобы является то, что партнерство с «Яндексом» по созданию совместного маркетплейса складывается не так удачно, как предполагалось.

Другие случаи утечки данных

Утечки данных пользователей в последние годы перестали быть редкостью. К примеру, в январе 2019 г. владелец ресурса проверки паролей Have I Been Pwned Трой Хант (Troy Hunt) сообщил, что в интернете опубликована база данных, содержащая 1,1 млрд уникальных комбинаций адресов электронной почты и паролей. Это самая крупная коллекция электронных ящиков и паролей к ним, которая есть в открытом доступе.

В марте 2019 г. выяснилось, что десятки тысяч сотрудников компании могли иметь доступ к чужим страницам в Facebook и Instagram, поскольку пароли сотен миллионов пользователей хранились на серверах компании в незашифрованном виде. Причем наличие проблемы социальная сеть официально признала лишь после того, как сторонний специалист по информационной безопасности со связями внутри компании рассказал о ней в интернете. Представители соцсети утверждали, что незашифрованные пароли пользователей никогда не были доступны кому-либо за пределами компании. Случаев же недобросовестного использования столь чувствительной информации ее сотрудниками в ходе внутреннего расследования выявлено не было.

В 2013-2014 гг. произшли два крупных инцидента с компрометацией аккаунтов пользователей Yahoo: в первом фигурировали около полумиллиарда аккаунтов, во втором более миллиарда. Факт утечек компания признала только в 2016 г. Хакеры смогли получить имена, почтовые адреса, телефонные номера, даты рождения, хэшированные пароли (с использованием MD5) и, в некоторых случаях, зашифрованные и незашифрованные секретные вопросы и ответы. Ни пароли в незашифрованном виде, ни платежная или банковская информация хакерам не достались, уверяла компания.

В марте 2017 г. в киберподполье на продажу были выставлены логины и пароли к 25 млн аккаунтов Gmail и 5 млн аккаунтов Yahoo. Все эти данные были получены из крупных взломов прошлых лет, когда хакерам удавалось похитить миллионы почтовых логинов и паролей с серверов Myspace, Linkedin, Dropbox и других компаний.

Дмитрий Степанов

Короткая ссылка