Роскомнадзор потребует у Ozon разъяснений из-за утечки данных  

Более 450 тыс. e-mail и паролей пользователей для входа в онлайн-магазин Ozon попали в открытый доступ. Инцидент произошел полгода назад, но компания о нем не сообщала, а сейчас настаивает, что часть данных утекла с других сайтов, сообщает РБК.

База, в которой содержатся адреса электронной почты и пароли почти от полумиллиона аккаунтов пользователей интернет-магазина Ozon, на днях была выложена на одном из сайтов, собирающих утечки данных, обнаружил РБК (копия базы есть в распоряжении редакции). Около сотни случайных e-mail из этой базы были проверены РБК с помощью сервиса Email Checker, все они актуальны. Однако указанные пароли для входа в Ozon уже не подходят.

Экcперт одной из компаний в сфере кибербезопасности, сообщил, что утечка могла произойти еще полгода назад. По его словам, найденная база скомпилирована из двух других баз данных, оригиналы которых он обнаружил на одном из хакерских форумов в ноябре 2018 года. Поэтому пароли, по его словам, могут быть уже неактуальны, так как компания должна была принять меры после обнаружения базы в открытом доступе.

Ozon о каких-либо утечках или взломах никогда не сообщал. Однако в декабре 2018 года компания неожиданно изменила систему восстановления паролей, добавив в нее дополнительное шифрование. Сейчас все пароли пользователей хранятся в хешированном виде.

Перед этим в интернете появлялись единичные жалобы от пользователей Ozon на взлом аккаунта, однако компания сообщала пользователям, что они сами виноваты во взломе. «Данные оказались скомпрометированы в результате взлома одного из ваших аккаунтов в онлайн-сервисах либо заражения вашего компьютера или мобильного устройства вредоносным ПО и использованы посторонним лицом для доступа к вашему аккаунту на Ozon.ru», — указывалось в ответе техподдержки на жалобу одного из пользователей.

Представитель пресс-службы Ozon сообщил, что компания мониторит подозрительные активности в интернете и видела базу с данными пользователей. «Файл, о котором вы говорите, ходит по Сети уже достаточно давно, и в свое время мы его также детально проверяли. В нем, насколько нам удалось разобраться, есть данные пользователей разных сервисов и в том числе достаточно старые данные некоторых пользователей Ozon. Судя по всему, эти данные попали в Сеть, потому что пользователи из списка использовали одинаковые пароли для разных сервисов. Мошенники также могли получить их в разное время при помощи вирусной атаки на компьютеры пользователей. Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании», — сообщил представитель Ozon.

Ozon — четвертый по величине российский интернет-магазин, оценивали аналитики Data Insight по итогам 2018 года. Он также входит в 20 самых популярных сайтов Рунета, согласно статистике SimilarWeb. По собственным данным, у компании 30 млн клиентов. В июне пользователи заходили на сайт 59 млн раз. Основные акционеры Ozon (ООО «Интернет Решения») — АФК «Система» Владимира Евтушенкова и фонд Baring Vostok, которым суммарно принадлежит порядка 80% компании.

Эксперты считают, что есть три сценария, как могли утечь данные: «Базу мог «слить» сотрудник Ozon, ее мог украсть хакер, залезший внутрь организации, и, наконец, причиной утечки мог стать некорректно настроенный внешний сервер, открывающий несанкционированный доступ к базе любому желающему. Нельзя исключить все три варианта. Также есть вероятность, что пароли пользователей в момент утечки хранились в открытом виде.

По сообщению ТАСС, Роскомнадзор потребует у Ozon разъяснений из-за утечки данных клиентов. В ведомстве выразили обеспокоенность действиями компании в ситуации, когда адреса электронных почт и пароли более 450 тыс. аккаунтов пользователей оказались в открытом доступе.

«Роскомнадзор выражает обеспокоенность действиями компании в ситуации, когда адреса электронных почт и пароли более 450 тыс. аккаунтов пользователей оказались в открытом доступе. Тот факт, что Ozon своевременно не предупредила о возникшей опасности, ставит под угрозу безопасность всех пользователей интернет-магазина, — сказали в ведомстве. — Роскомнадзор как уполномоченный орган направит письмо в Ozon для получения разъяснений от компании по возникшей утечке».

В пресс-службе Роскомнадзора напомнили, что адрес электронной почты в совокупности с паролем можно отнести к персональным данным, так как они «дают доступ к аккаунту клиента и позволяют несанкционированно получать дополнительную информацию о клиенте и совершать от его имени различные действия».

В ведомстве добавили, что в настоящее время разрабатывается пакет нормативно-правовых документов по гармонизации законов, где будут учтены также положения обновленной Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных. По словам пресс-службы, данные изменения введут обязанность уведомлять уполномоченный надзорный орган об утечках.

«Эти нормы призваны расширить права пользователей на получение информации о несанкционированном доступе третьих лиц к их персональным данным. Люди имеют право не просто заявить о своем несогласии, но и, независимо от гражданства и места жительства, получать квалифицированную защиту от надзорного органа», — отметили в Роскомнадзоре.

 

Что будем искать? Например,ChatGPT

Мы в социальных сетях