Утренняя рассылка 11 июля 2019

Опасна ли утечка в Ozon, быстрые платежи дорожают, автопробег Орешкина и секреты удаленной работы

Новая утечка в Ozon опасна не сама по себе, а из-за привычек пользователей

Фото из Facebook-аккаунта Ozon

Об утечке более 450 000 логинов (e-mail) и паролей клиентов интернет-магазина Ozon (пятая по капитализации компания рунета) накануне вечером написал РБК. Это произошло примерно полгода назад — не позднее ноября 2018 года.

  • Ни о каких утечках Ozon не сообщал. Но в декабре прошлого года TJournal опубликовал фрагмент чата, приписываемого техдиректору компании Анатолию Орлову, из которого следовало, что до его прихода в Ozon в начале 2018 года пароли хранились в незашифрованном виде.
  • Потом Орлов уточнил, что шифрование в самой базе паролей было, но при нем его усилили хэшированием и закрыли «дыру» с рассылкой пароля в открытом виде при восстановлении.
  • Ozon говорит, что сбросил пароли у пользователей вскоре после появления базы в сети.

Насколько это серьезно

РБК проверил сотни случайных e-mail, все они актуальны. Но «утекшие» пароли к Ozon действительно оказались сброшены, поэтому утверждать, что вся утечка — это аккаунты пользователей ритейлера, невозможно.

У Ozon 30 млн пользователей. Компания утверждает, что «среди 450 тысяч записей число данных, принадлежащих пользователям компании, не превышает нескольких процентов». Если верить этой информации, скомпрометированных аккаунтов порядка 0,1%, если не верить — 1,5%.

Утечка в интернет-магазине далеко уступает по масштабам и серьезности хотя бы прошлогодней «дыре» в сервисе проверки дипломов Рособрнадзора, скомпрометировавшей данные 14 млн россиян, включая ИНН и СНИЛС. Несопоставимо больше и очередная утечка в Facebook.

Чем это грозит Ozon

Независимо от размера утечки произошло нарушение закона «О персональных данных».

  • Оператору, в данном случае Ozon, грозит административная ответственность в виде максимального штрафа в 50 000 рублей. Но, чтобы наложить штраф, Роскомнадзор должен доказать, что причиной утечки стали действия или бездействие оператора. Если утечка — результат хакерской атаки, доказать это крайне сложно.
  • Роскомнадзор потребовал у Ozon разъяснений, указав, что магазин не предупредил об опасности вовремя и поставил под угрозу безопасность всех пользователей.
  • Теоретически пользователи могут подать к Ozon иск о компенсации материального и морального ущерба. На практике доказать факт такого ущерба и определить его размер тоже очень сложно.

Чем это грозит пользователям

Самые большие проблемы возникнут у людей, использующих одинаковые пароли для доступа к разным сервисам.

  • Даже если пароль к Ozon сброшен, люди не понимают, что его нужно менять во всех остальных местах.
  • Информацию из личного кабинета (адреса доставки, телефоны, историю покупок) хакеры могут использовать для эффективного фишинга с использованием социального инжиниринга.
  • Правила безопасного поведения в интернете очень просты. Вкратце: разные пароли везде и их регулярная смена, регулярное обновление ПО на всем — от телефона до домашнего роутера, двухфакторная аутентификация где только можно, и лучше не через SMS.

Что мне с этого

Утечка в Ozon в который раз напоминает, что в современном цифровом пространстве нельзя иметь уязвимый аккаунт в одном месте и рассчитывать на гарантированную безопасность другого. Защитить себя помогут самые простые правила цифровой гигиены, но проблема в том, что большинство людей их не соблюдает.

ДЕНЬГИ

Быстрые платежи дорожают

Радужные надежды малого ритейла на дешевые расчеты с покупателями в системе быстрых платежей (СБП) Центробанка потускнели. Системные банки — Сбербанк, ВТБ, Альфа-банк и Райффайзенбанк — добиваются увеличения минимальной комиссии при расчетах с юрлицами вдвое: с 0,4% (предложена ЦБ) до 1%. Банки можно понять: при близкой к нулевой комиссии в СБП они фактически превращаются в расчетные филиалы ЦБ. Ритейл говорит, что при комиссии, близкой к ставке эквайринга по картам, СБП ему неинтересен. Уже скоро ЦБ должен опубликовать согласованные ставки, тем более что до включения в СБП активно упиравшегося Сбербанка считанные недели.

Дело на 14 миллиардов

Дело экс-руководителя «Автодора» Сергея Кельбаха ожидаемо ширится, пишет РБК. Следствие заподозрило, что «Крокус Интернэшнл» Араза Агаларова держал авансы на 14,6 млрд рублей, согласованные Кельбахом, на депозитах, а не использовал их для строительства «второй кольцевой» Москвы — ЦКАД. Претензии пока бухгалтерские (превышение доли госсубсидий), и «Крокус» их уверенно опровергает. Не исключено, что на позицию следствия повлияет сдача (или несдача) до конца года «Крокусом» своего участка ЦКАД. Сейчас он готов на 65–70%.

СИГНАЛЫ

Автопробегом по мегапроекту

Автопробег Москва—Тольятти министра экономразвития Максима Орешкина внезапно обрел государственное звучание. Оказалось, что только после него премьер Дмитрий Медведев примет решение — делать ли федеральный маршрут Европа — Западный Китай частным (проект «Меридиан» бывшего топ-менеджера «Газпрома» Александра Рязанова) или принять конкурирующий проект с реконструкцией трассы М7 «Волга». Деньги огромные в любом случае — не меньше 600 млрд рублей, но «Меридиан» должен строиться на частные инвестиции, хотя и с госгарантиями. Чем быстрее чиновники определятся с маршрутом, тем скорее появится новая трасса. Орешкину, чей имидж сильно страдает из-за спора с ЦБ, не помешает и инъекция положительного PR, пусть даже по образцу путинского пробега на желтой «Калине» в 2010 году.

ПРАКТИКА

Как работать удаленно и не терять эффективность

Люди на удаленной работе сталкиваются с проблемой одиночества: по исследованию, проведенному в крупной компании, из 2 тысяч сотрудников две трети говорят, что имеют проблемы, о которых офисные работники даже не подозревают, пишет Quartz. Например, на удаленной работе сотрудники зачастую даже не получают важную информацию: они либо не открывают файлы, считая их ненужными, либо пропускают сообщение из-за информационного потока. Более 70% опрошенных сказали, что из-за этого чувствуют себя в компании обделенными.

Как этого избежать?

  • Следите за своим статусом. Если вы отходите на обед, поменяйте свой рабочий статус, показывая, что сообщения до вас не доходят. Так, важную информацию вам потом продублируют коллеги, или мессенджер пришлет сообщения, когда вы снова будете онлайн.
  • Используйте групповые чаты и конференции. Вы сможете наладить общение с коллективом и быть всегда включенным в неофициальную повестку.
  • Создайте рабочую среду. Не работайте из постели — это отвлекает и не создает продуктивного настроя. Оборудуйте ваше место необходимым (офисный стол, техника, канцтовары), и даже если вы работаете из дома — вы можете, как в офисе, отдельно сделать кофе-брейк или выйти куда-то на обед. Это убережет от эмоционального выгорания.

В Британии врачей хотят заменить голосовым помощником

Британское министерство здравоохранения (NHS) собирается сотрудничать с Amazon: голосовой помощник Алекса будет профессионально отвечать на вопросы по здоровью, пишет The Verge. Британцы задают Алексе (как и мы Сири) много медицинских вопросов, например, как быстро вылечить мигрень и каковы симптомы гриппа. Сегодня ответы не всегда даются из надежных источников, а сотрудничество с NHS позволит Алексе брать информацию у проверенных специалистов. В Британии надеются, что это пойдет на пользу клиникам, к которым зачастую обращаются без надобности, и людям с проблемами зрения, которым тяжело читать медицинские статьи.

Сергей Смирнов