В интернет-магазине Ozon произошла утечка данных, но ее главная опасность — не в ней самой.
Что произошло
Об утечке более 450 000 логинов (e-mail) и паролей клиентов интернет-магазина Ozon (пятая по капитализации компания рунета) накануне вечером написал РБК. По информации издания, это произошло примерно полгода назад — не позднее ноября 2018 года.
- Ни о каких утечках Ozon не сообщал. Но в декабре прошлого года TJournal опубликовал фрагмент чата, приписываемого техдиректору компании Анатолию Орлову, из которого следовало, что до его прихода в Ozon в начале 2018 года пароли хранились в незашифрованном виде.
- Позднее Орлов уточнил, что шифрование в самой базе паролей было, но при нем его усилили хэшированием и закрыли «дыру» с рассылкой пароля в открытом виде при восстановлении.
- Ozon говорит, что сбросил пароли у пользователей вскоре после появления базы в сети.
Ozon получил от акционеров 10 млрд рублей. Это первая сделка Baring Vostok после ареста Калви
Насколько это серьезно
РБК проверил сотни случайных e-mail, все они актуальны. Но «утекшие» пароли к Ozon действительно оказались сброшены, поэтому утверждать, что вся утечка — это аккаунты пользователей ритейлера, невозможно.
Ozon напоминает, что у него 30 млн пользователей, и говорит, что «среди 450 тысяч записей число данных, принадлежащих пользователям компании, не превышает нескольких процентов». Если верить этой информации, скомпрометированных аккаунтов порядка 0,1%, если не верить — 1,5%.
В любом случае утечка в интернет-магазине далеко уступает по масштабам и серьезности хотя бы прошлогодней «дыре» в сервисе проверки дипломов Рособрнадзора, скомпрометировавшей данные 14 млн россиян, включая ИНН и СНИЛС. Несопоставимо больше и очередная утечка в Facebook.
Чем это грозит Ozon
Независимо от размера утечки произошло нарушение закона «О персональных данных».
- Оператору, в данном случае Ozon, грозит административная ответственность в виде максимального штрафа в 50 000 рублей. Правда, чтобы наложить штраф, Роскомнадзор должен доказать, что причиной утечки стали действия или бездействие оператора. Если утечка — результат хакерской атаки, доказать это крайне сложно.
- Роскомнадзор уже потребовал у Ozon разъяснений, указав, что магазин не предупредил об опасности вовремя и поставил под угрозу безопасность всех пользователей.
- Теоретически пользователи могут подать к Ozon иск о компенсации материального и морального ущерба, но на практике доказать факт такого ущерба и определить его размер тоже очень сложно.
Чем это грозит пользователям
Самые большие проблемы возникнут у людей, использующих одинаковые пароли для доступа к разным сервисам.
- Даже если пароль к Ozon сброшен, люди не понимают, что его нужно менять во всех остальных местах.
- Информацию из личного кабинета (адреса доставки, телефоны, историю покупок) хакеры могут использовать для эффективного фишинга с использованием социального инжиниринга.
- Как защитить от компьютерных преступлений себя и свой бизнес, нам подробно рассказывал основатель и совладелец Group-IB Илья Сачков. Вкратце: разные пароли везде и их регулярная смена, регулярное обновление ПО на всем от телефона до домашнего роутера, двухфакторная аутентификация где только можно, и лучше не через SMS.
Утечка в Ozon в который раз напоминает, что в современном цифровом пространстве нельзя иметь уязвимый аккаунт в одном месте и рассчитывать на гарантированную безопасность другого. Защитить себя помогут самые простые правила цифровой гигиены, но проблема в том, что большинство людей их не соблюдает.