Более 450 тыс. адресов e-mail, выступающих в качестве логинов, и паролей пользователей для входа в интернет-магазин Ozon оказались в открытом доступе. Об утечке, которая произошла еще полгода назад, но не афишировалась, пишет РБК. Издание обнаружило почти полумиллионную базу на одном из сайтов, собирающих утечки данных.
Эксперт в сфере кибербезопасности прокомментировал РБК, что многие пароли могут быть уже неактуальны, так как компания должна была предпринять меры после обнаружения базы в открытом доступе. Ozon о каких-либо утечках или взломах никогда не сообщал, но в декабре 2018 года компания изменила систему восстановления паролей, добавив в нее дополнительное шифрование. Это произошло после жалоб пользователей на взломы.
Представитель пресс-службы Ozon в ответ на вопросы РБК сообщил, что компания мониторит подозрительные активности в интернете и видела базу с данными пользователей. «Файл, о котором вы говорите, „ходит“ по сети уже достаточно давно — и в свое время мы его также детально проверяли […] Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете — это политика компании», — приводит издание комментарий представителя Ozon.
Эксперты, опрошенные РБК, отметили, что доступ к аккаунтам на Ozon после смены паролей хакеры уже не получат, но привычка использовать одинаковые пароли на разных сайтах может создать угрозу доступа к данным на других ресурсах. Мошенники также могли успеть воспользоваться дополнительной информацией о клиентах онлайн-магазина: телефонами и адресами, данными о покупках.
Если Роскомнадзор сможет доказать, что в утечке виновен Ozon, по статье 13.11 КоАП компании может грозить штраф от 30 тыс. до 50 тыс. рублей. Что касается пострадавших пользователей, они могут претендовать на компенсацию материального ущерба, причиненного, например, в результате несанкционированного доступа к информации о банковских данных, и морального ущерба.