Обновлено: после публикации новости Ozon сообщил, что среди 450 000 e-mail и паролей интернет-пользователей, оказавшихся в свободном доступе, лишь малая доля принадлежала пользователям компании. Подробнее читайте в материале: Ozon уточнил число пользователей, чьи данные оказались в открытом доступе
Один из сайтов, собирающих утечки данных, на днях выложил базу, которая включает более 450 000 адресов электронной почты и паролей пользователей интернет-магазина Ozon, обнаружил РБК, в распоряжении которого есть копия базы. Журналисты издания проверили около 100 случайных e-mail через сервис Email Checker и выяснили, что все адреса актуальны. При этом указанные в базе пароли уже не подходят для входа в Ozon, установили они.
Утечка могла произойти еще полгода назад, говорит изучивший базу эксперт по кибербезопасности. По его словам, база содержит сведения из двух других баз данных, оригиналы которых были на хакерском форуме еще в ноябре прошлого года. Изданию удалось найти подтверждение слов эксперта.
Ozon ранее не сообщал об утечках, однако в конце 2018 года технический директор компании Анатолий Орлов заявил TJ, что система восстановления паролей изменилась. С его слов, в систему добавили дополнительное шифрование. Незадолго до этого некоторые пользователи жаловались на взлом аккаунта, однако в компании заявили, что люди сами в этом виноваты. В ответе на жалобу одного из пользователей говорилось, что причиной взлома аккаунт стало заражение компьютера или мобильного устройства вирусом.
Представитель пресс-службы Ozon заявил РБК, что компания видела базу с логинами и паролями. По его словам, файл «ходит по Сети уже достаточно давно» и его детально проверяли специалисты. «В нем, насколько нам удалось разобраться, есть данные пользователей разных сервисов и в том числе достаточно старые данные некоторых пользователей Ozon. Судя по всему, эти данные попали в Сеть, потому что пользователи из списка использовали одинаковые пароли для разных сервисов. Мошенники также могли получить их в разное время при помощи вирусной атаки на компьютеры пользователей», — сказал представитель пресс-службы, уточнив, что все пароли сбросили из соображений безопасности.
Консультант по информационной безопасности Cisco Systems Алексей Лукацкий предположил, что базу мог «слить» сотрудник Ozon. Среди других возможных причин — кража хакером и некорректно настроенный внешний сервер, открывший несанкционированный доступ к базе. «Если данная база не является фейком, то приходится признать, что хранились пароли в открытом виде. К сожалению, это является распространенной практикой», – сказал Лукацкий изданию.
Пострадавшие пользователи могут претендовать не только на компенсацию материального ущерба, причиненного в случае несанкционированного доступа к информации о банковских данных, но и морального ущерба, считает партнер юридической компании НАФКО Павел Иккерт. Впрочем, доказать последнее, по его словам, трудно. Что касается самой компании, если ее действия или бездействие привели к утечке, ей может грозить штраф от 30 000 до 50 000 рублей, сказал юрист.
В 2018 году Ozon Group вошла в рейтинг 20 самых дорогих компаний Рунета по версии Forbes, заняв 6 место. Основные акционеры Ozon (ООО «Интернет Решения») — АФК «Система» Владимира Евтушенкова и фонд Baring Vostok. Суммарно им принадлежит 80% компании.