РБК сообщили о том, что данные учетных записей 450 000 пользователей Ozon были обнаружены в открытом доступе. База с логинами и паролями была найдена на сайте, специализирующемся на сборе утечек данных.
После проверки сотни случайных почтовых адресов, оказалось, что все они актуальны. Тем не менее, войти в аккаунты Ozon уже не получится. По мнению экспертов ИБ, данные могли утечь еще полгода назад. Найденный дамп состоял из двух других, оригиналы которых уже блуждали по хакерским форумам осенью 2018. Именно поэтому пароли не подходят. Компания должна была проинформировать пользователей об утечке и принять меры.
Однако никаких публичный заявлений компания Ozon не делала. Тем не менее, Анатолий Орлов, директор компании, сообщил, что Ozon поменял систему восстановления паролей. Они оснастили ее дополнительным шифрованием. До этого безопасность восстановления паролей была весьма сомнительной. Ранее при запросе на восстановление пароля, пользователь получал его в письме в открытом виде.
На халатное отношение к ситуации со стороны компании Ozon резким комментарием отреагировал Роскомнадзор:
«Роскомнадзор выражает обеспокоенность действиями компании в ситуации, когда адреса электронных почт и пароли более 450 тыс. аккаунтов пользователей оказались в открытом доступе. Тот факт, что Ozon своевременно не предупредила о возникшей опасности, ставит под угрозу безопасность всех пользователей интернет-магазина. Роскомнадзор как уполномоченный орган направит письмо в Ozon для получения разъяснений от компании по возникшей утечке».