Адреса электронных почт и пароли почти от полумиллиона аккаунтов пользователей интернет-магазина Ozon были опубликованы на одном из сайтов, собирающих утечки данных. Об этом пишет РБК.
Издание проверило часть электронных адресов и выяснило, что они по-прежнему актуальны, однако пароли для входа в сервис уже не подходят. Один из экспертов в сфере кибербезопасности отметил, что утечка могла произойти еще полгода назад. По его словам, обнаруженная база была собрана из двух других, оригиналы которых он нашел на одном из хакерских форумов в ноябре 2018 года.
Представитель пресс-службы Ozon рассказал, что компания в курсе базы с данными пользователей. «Файл, о котором вы говорите, ходит по сети уже достаточно давно, и в свое время мы его также детально проверяли. В нем, насколько нам удалось разобраться, есть данные пользователей разных сервисов и в том числе достаточно старые данные некоторых пользователей Ozon. <…> Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon», — уточнил он.
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий рассказал РБК, что данные могли попасть в сеть по трем причинам: базу опубликовал кто‑то из сотрудников Ozon, ее похитили хакеры, проникшие в систему компании, либо проблема в неправильно настроенным сервере. Также Лукацкий не исключил, что в момент утечки данные могли храниться в незашифрованном виде. «Если бы пароли были зашифрованы, то маловероятно, что кто‑то смог бы их дешифровать и выложить в открытом виде. Если данная база не является фейком, то приходится признать, что хранились пароли в открытом виде», — подытожил он.
Ранее Ozon никогда не сообщал о каких‑либо утечках или взломах. Но в декабре 2018 года технический директор ретейлера Анатолий Орлов рассказал, что компания изменила систему восстановления паролей, добавив в нее дополнительное шифрование. «Сейчас все пароли пользователей хранятся в хешированном виде [закодированными необратимым образом]: от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно», — подчеркивал он.