t_itanium (t_itanium) wrote,
t_itanium
t_itanium

Category:

Мои поздравления клиентам Ozon - логины и пароли пользователей этой шарашки утекли в интернет

Сколько можно повторять – не пользуйтесь этим г@вном! Нет, блин, как мёдом намазано… Ну что ж, платное обучение, так сказать… Конечно, утечки данных пользователей были и куда более именитых компаний. Но никто такие вещи (утечки) не скрывает. А Ozon скрыл, чем в очередной раз кинул своих клиентов



...Более 450 тыс. e-mail и паролей пользователей для входа в интернет-магазин Ozon оказались в открытом доступе. Утечка произошла еще полгода назад, однако компания о ней не сообщала

База, в которой содержатся адреса электронной почты и пароли почти от полумиллиона аккаунтов пользователей интернет-магазина Ozon, на днях была выложена на одном из сайтов, собирающих утечки данных, обнаружил РБК (копия базы есть в распоряжении редакции). Около сотни случайных e-mail из этой базы были проверены РБК с помощью сервиса Email Checker, все они актуальны. Однако указанные пароли для входа в Ozon уже не подходят.

Экcперт одной из компаний в сфере кибербезопасности, ознакомившийся с базой по просьбе РБК, сообщил, что утечка могла произойти еще полгода назад. По его словам, найденная база скомпилирована из двух других баз данных, оригиналы которых он обнаружил на одном из хакерских форумов в ноябре 2018 года (РБК убедился, что эти базы действительно размещены на этом форуме). Поэтому пароли, по его словам, могут быть уже неактуальны, так как компания должна была принять меры после обнаружения базы в открытом доступе.

Как данные оказались в интернете и чем это грозит пользователям, разбирался РБК...



Консультант по информационной безопасности Cisco Systems Алексей Лукацкий говорит, что есть три сценария, как могли утечь данные: «Базу мог «слить» сотрудник Ozon, ее мог украсть хакер, залезший внутрь организации, и, наконец, причиной утечки мог стать некорректно настроенный внешний сервер, открывающий несанкционированный доступ к базе любому желающему. Я не могу исключить все три варианта».

Также, по мнению Лукацкого, есть вероятность, что пароли пользователей в момент утечки хранились в открытом виде. «Если бы пароли были зашифрованы, то маловероятно, что кто-то смог бы их дешифровать и выложить в открытом виде. Если данная база не является фейком, то приходится признать, что хранились пароли в открытом виде. К сожалению, это является распространенной практикой», — заключил он.

Что грозит Ozon за утечку

По словам партнера юридической компании НАФКО Павла Иккерта, согласно закону «О персональных данных» оператор, в конкретном случае Ozon, обязан обеспечивать сохранность и конфиденциальность персональных данных пользователей, в том числе устранять риски их утечки. Если действия или бездействие оператора привели к неправомерному доступу к персональным данным, этот оператор может быть привлечен к административной ответственности, пояснил юрист. «Статьей 13.11 КоАП за такое нарушение предусмотрен штраф для юридических лиц в размере от 30 тыс. до 50 тыс. руб., который в масштабах бизнеса Ozon можно назвать незначительным», — уточнил Павел Иккерт. Но чтобы назначить штраф, Роскомнадзор должен установить наличие состава нарушения, то есть доказать, что причиной утечки являлись именно действия или бездействие оператора. «На практике сделать это сложно, особенно если такая утечка стала результатом хакерской атаки», — отметил Иккерт.

При этом пострадавшие пользователи могут претендовать не только на компенсацию материального ущерба, причиненного, например, в результате несанкционированного доступа к информации о банковских данных, но и морального ущерба. Но доказать факт морального ущерба по вине оператора и обосновать размер компенсации на практике также сложно, заключил Павел Иккерт.

Руководитель направления по продвижению сервисов Solar JSOC компании «Ростелеком» Алексей Павлов уверен, что правильный способ реагирования на подобную утечку со стороны оператора должен включать две составляющие. «Во-первых, компания должна принудительно сменить пароли от личных кабинетов пользователей, уведомив их об этом. Во-вторых, требуется провести детальное внутреннее расследование для выявления пути компрометации данных и закрыть уязвимости, обнаруженные в системах или процессах», — считает эксперт.

«Скрывать факт взлома можно только в одном случае — если вы уверены, что никто и никогда про него не узнает. Но в современных условиях это невозможно», — считает Алексей Лукацкий. По его мнению, хорошей практикой является наличие плана действий в случае инцидента, такой план должен в том числе включать дозированные коммуникации с клиентами, партнерами и СМИ.

Какими могут быть последствия для пользователей

Алексей Лукацкий отметил, что если пароли были изменены, то доступ к аккаунту пользователя Ozon хакеры уже не получат. Однако многие имеют привычку использовать одинаковые пароли на разных сервисах, и «сброс пароля на Ozon не означает, что пользователи заменят их на других ресурсах, где они зарегистрированы».

Алексей Павлов согласен, что практика использовать одинаковые пароли на разных сайтах ведет к тому, что утечка данных по одному из аккаунтов открывает злоумышленникам доступ к остальным. «Кроме того, получив базу данных с аккаунтами, мошенники могли воспользоваться дополнительной информацией о клиентах онлайн-магазина, доступной из личных кабинетов: телефон, почта, рабочие и домашние адреса. Даже одни только личные данные пользователей и данные об их заказах являются хорошей почвой для целевого фишинга (рассылки писем с ссылками или вложениями, содержащими вредоносный софт. — РБК)», — пояснил Павлов.

Когда и куда утекали данные

В отчете InfoWatch за 2018 год отмечалось, что самая большая утечка информации в России произошла из-за уязвимости на сайте Рособрнадзора, когда скомпрометированной оказалась база данных о 14 млн бывших студентов.

Самая крупная база данных с логинами и паролями содержит 25 млрд учетных записей. В начале 2019 года ее обнаружил ИТ-журнал The Wired. Большая часть из скомпрометированных данных включает в себя утечки предыдущих лет, в том числе после взлома баз данных Yahoo, LinkedIn и Dropbox.

Несколько раз в масштабных утечках персональной информации обвиняли Facebook. В последний раз это произошло в апреле, когда данные оказались в открытом доступе на других платформах и в облачном хранилище Amazon. До этого представители соцсети обнаружили, что пароли ряда пользователей хранятся на серверах Facebook в незашифрованном виде. Сообщалось, что без защиты оказались «сотни миллионов пользователей Facebook Lite, десятки миллионов других пользователей Facebook и десятки тысяч пользователей Instagram»…


Источник.

Tags: барыги, мошенники, наши нравы, озон, россия
Subscribe
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 8 comments