Утечка в Ozon: чем она грозит компании и пользователям

В интернет-магазине Ozon произошла утечка данных, но ее главная опасность — не в ней самой.

Что произошло

Об утечке более 450 000 логинов (e-mail) и паролей клиентов интернет-магазина Ozon (пятая по капитализации компания рунета) накануне вечером написал РБК. По информации издания, это произошло примерно полгода назад — не позднее ноября 2018 года.

• Ни о каких утечках Ozon не сообщал. Но в декабре прошлого года TJournal опубликовал фрагмент чата, приписываемого  техдиректору компании Анатолию Орлову, из которого следовало, что до его прихода в Ozon в начале 2018 года пароли хранились в незашифрованном виде.
• Позднее Орлов уточнил, что шифрование в самой базе паролей было, но при нем его усилили хэшированием и закрыли «дыру» с рассылкой пароля в открытом виде при восстановлении.
• Ozon говорит, что сбросил пароли у пользователей вскоре после появления базы в сети.

Насколько это серьезно

РБК проверил сотни случайных e-mail, все они актуальны. Но «утекшие» пароли к Ozon действительно оказались сброшены, поэтому утверждать, что вся утечка — это аккаунты пользователей ритейлера, невозможно.

Ozon напоминает, что у него 30 млн пользователей, и говорит, что «среди 450 тысяч записей число данных, принадлежащих пользователям компании, не превышает нескольких процентов». Если верить этой информации, скомпрометированных аккаунтов порядка 0,1%, если не верить — 1,5%.

В любом случае утечка в интернет-магазине далеко уступает по масштабам и серьезности хотя бы прошлогодней «дыре» в сервисе проверки дипломов Рособрнадзора, скомпрометировавшей данные 14 млн россиян, включая ИНН и СНИЛС. Несопоставимо больше и очередная утечка в Facebook.

Чем это грозит Ozon

Независимо от размера утечки произошло нарушение закона «О персональных данных».

• Оператору, в данном случае Ozon, грозит административная ответственность в виде максимального штрафа в 50 000 рублей. Правда, чтобы наложить штраф, Роскомнадзор должен доказать, что причиной утечки стали действия или бездействие оператора. Если утечка — результат хакерской атаки, доказать это крайне сложно.
• Роскомнадзор уже потребовал у Ozon разъяснений, указав, что магазин не предупредил об опасности вовремя и поставил под угрозу безопасность всех пользователей.
• Теоретически пользователи могут подать к Ozon иск о компенсации материального и морального ущерба, но на практике доказать факт такого ущерба и определить его размер тоже очень сложно.

Чем это грозит пользователям

Самые большие проблемы возникнут у людей, использующих одинаковые пароли для доступа к разным сервисам.

• Даже если пароль к Ozon сброшен, люди не понимают, что его нужно менять во всех остальных местах.
• Информацию из личного кабинета (адреса доставки, телефоны, историю покупок) хакеры могут использовать для эффективного фишинга с использованием социального инжиниринга.
• Как защитить от компьютерных преступлений себя и свой бизнес, нам подробно рассказывал основатель и совладелец Group-IB Илья Сачков. Вкратце: разные пароли везде и их регулярная смена, регулярное обновление ПО на всем от телефона до домашнего роутера, двухфакторная аутентификация где только можно, и лучше не через SMS.