Логины и пароли пользователей Ozon утекли в интернет
Чем это грозит онлайн-ретейлеру и его клиентамБаза, в которой содержатся адреса электронной почты и пароли почти от полумиллиона аккаунтов пользователей интернет-магазина Ozon, на днях была выложена на одном из сайтов, собирающих утечки данных, обнаружил РБК (копия базы есть в распоряжении редакции). Около сотни случайных e-mail из этой базы были проверены РБК с помощью сервиса Email Checker, все они актуальны. Однако указанные пароли для входа в Ozon уже не подходят.
Экcперт одной из компаний в сфере кибербезопасности, ознакомившийся с базой по просьбе РБК, сообщил, что утечка могла произойти еще полгода назад. По его словам, найденная база скомпилирована из двух других баз данных, оригиналы которых он обнаружил на одном из хакерских форумов в ноябре 2018 года (РБК убедился, что эти базы действительно размещены на этом форуме). Поэтому пароли, по его словам, могут быть уже неактуальны, так как компания должна была принять меры после обнаружения базы в открытом доступе.
Как данные оказались в интернете и чем это грозит пользователям, разбирался РБК.
Откуда взялись данные
Ozon о каких-либо утечках или взломах никогда не сообщал. Однако в декабре 2018 года технический директор ретейлера Анатолий Орлов неожиданно заявил, что компания изменила систему восстановления паролей, добавив в нее дополнительное шифрование. «В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Сейчас все пароли пользователей хранятся в хешированном виде («закодированные необратимым образом»): от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно. Лучше всего оберегаются те секреты, которые ты сам не знаешь», — говорил Орлов изданию TJ.
Перед этим в интернете появлялись единичные жалобы от пользователей Ozon на взлом аккаунта, однако компания сообщала пользователям, что они сами виноваты во взломе. «Данные оказались скомпрометированы в результате взлома одного из ваших аккаунтов в онлайн-сервисах либо заражения вашего компьютера или мобильного устройства вредоносным ПО и использованы посторонним лицом для доступа к вашему аккаунту на Ozon.ru», — указывалось в ответе техподдержки на жалобу одного из пользователей.
Представитель пресс-службы Ozon в ответ на вопросы РБК сообщил, что компания мониторит подозрительные активности в интернете и видела базу с данными пользователей. «Файл, о котором вы говорите, ходит по Сети уже достаточно давно, и в свое время мы его также детально проверяли. В нем, насколько нам удалось разобраться, есть данные пользователей разных сервисов и в том числе достаточно старые данные некоторых пользователей Ozon. Судя по всему, эти данные попали в Сеть, потому что пользователи из списка использовали одинаковые пароли для разных сервисов. Мошенники также могли получить их в разное время при помощи вирусной атаки на компьютеры пользователей. Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании», — сообщил представитель Ozon.
Ozon — четвертый по величине российский интернет-магазин, оценивали аналитики Data Insight по итогам 2018 года. Он также входит в 20 самых популярных сайтов Рунета, согласно статистике SimilarWeb. По собственным данным, у компании 30 млн клиентов. В июне пользователи заходили на сайт 59 млн раз. Основные акционеры Ozon (ООО «Интернет Решения») — АФК «Система» Владимира Евтушенкова и фонд Baring Vostok, которым суммарно принадлежит порядка 80% компании.
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий говорит, что есть три сценария, как могли утечь данные: «Базу мог «слить» сотрудник Ozon, ее мог украсть хакер, залезший внутрь организации, и, наконец, причиной утечки мог стать некорректно настроенный внешний сервер, открывающий несанкционированный доступ к базе любому желающему. Я не могу исключить все три варианта».
Также, по мнению Лукацкого, есть вероятность, что пароли пользователей в момент утечки хранились в открытом виде. «Если бы пароли были зашифрованы, то маловероятно, что кто-то смог бы их дешифровать и выложить в открытом виде. Если данная база не является фейком, то приходится признать, что хранились пароли в открытом виде. К сожалению, это является распространенной практикой», — заключил он.
Что грозит Ozon за утечку
По словам партнера юридической компании НАФКО Павла Иккерта, согласно закону «О персональных данных» оператор, в конкретном случае Ozon, обязан обеспечивать сохранность и конфиденциальность персональных данных пользователей, в том числе устранять риски их утечки. Если действия или бездействие оператора привели к неправомерному доступу к персональным данным, этот оператор может быть привлечен к административной ответственности, пояснил юрист. «Статьей 13.11 КоАП за такое нарушение предусмотрен штраф для юридических лиц в размере от 30 тыс. до 50 тыс. руб., который в масштабах бизнеса Ozon можно назвать незначительным», — уточнил Павел Иккерт. Но чтобы назначить штраф, Роскомнадзор должен установить наличие состава нарушения, то есть доказать, что причиной утечки являлись именно действия или бездействие оператора. «На практике сделать это сложно, особенно если такая утечка стала результатом хакерской атаки», — отметил Иккерт.
При этом пострадавшие пользователи могут претендовать не только на компенсацию материального ущерба, причиненного, например, в результате несанкционированного доступа к информации о банковских данных, но и морального ущерба. Но доказать факт морального ущерба по вине оператора и обосновать размер компенсации на практике также сложно, заключил Павел Иккерт.
Руководитель направления по продвижению сервисов Solar JSOC компании «Ростелеком» Алексей Павлов уверен, что правильный способ реагирования на подобную утечку со стороны оператора должен включать две составляющие. «Во-первых, компания должна принудительно сменить пароли от личных кабинетов пользователей, уведомив их об этом. Во-вторых, требуется провести детальное внутреннее расследование для выявления пути компрометации данных и закрыть уязвимости, обнаруженные в системах или процессах», — считает эксперт.
«Скрывать факт взлома можно только в одном случае — если вы уверены, что никто и никогда про него не узнает. Но в современных условиях это невозможно», — считает Алексей Лукацкий. По его мнению, хорошей практикой является наличие плана действий в случае инцидента, такой план должен в том числе включать дозированные коммуникации с клиентами, партнерами и СМИ.
Какими могут быть последствия для пользователей
Алексей Лукацкий отметил, что если пароли были изменены, то доступ к аккаунту пользователя Ozon хакеры уже не получат. Однако многие имеют привычку использовать одинаковые пароли на разных сервисах, и «сброс пароля на Ozon не означает, что пользователи заменят их на других ресурсах, где они зарегистрированы».
Алексей Павлов согласен, что практика использовать одинаковые пароли на разных сайтах ведет к тому, что утечка данных по одному из аккаунтов открывает злоумышленникам доступ к остальным. «Кроме того, получив базу данных с аккаунтами, мошенники могли воспользоваться дополнительной информацией о клиентах онлайн-магазина, доступной из личных кабинетов: телефон, почта, рабочие и домашние адреса. Даже одни только личные данные пользователей и данные об их заказах являются хорошей почвой для целевого фишинга (рассылки писем с ссылками или вложениями, содержащими вредоносный софт. — РБК)», — пояснил Павлов.
Когда и куда утекали данные
В отчете InfoWatch за 2018 год отмечалось, что самая большая утечка информации в России произошла из-за уязвимости на сайте Рособрнадзора, когда скомпрометированной оказалась база данных о 14 млн бывших студентов.
Самая крупная база данных с логинами и паролями содержит 25 млрд учетных записей. В начале 2019 года ее обнаружил ИТ-журнал The Wired. Большая часть из скомпрометированных данных включает в себя утечки предыдущих лет, в том числе после взлома баз данных Yahoo, LinkedIn и Dropbox.
Несколько раз в масштабных утечках персональной информации обвиняли Facebook. В последний раз это произошло в апреле, когда данные оказались в открытом доступе на других платформах и в облачном хранилище Amazon. До этого представители соцсети обнаружили, что пароли ряда пользователей хранятся на серверах Facebook в незашифрованном виде. Сообщалось, что без защиты оказались «сотни миллионов пользователей Facebook Lite, десятки миллионов других пользователей Facebook и десятки тысяч пользователей Instagram».