Хакер #305. Многошаговые SQL-инъекции
Вечером 10 июля 2019 года РБК сообщило, что логины и пароли примерно 450 000 клиентов попали в открытый доступ.
База, в которой содержатся адреса электронной почты и пароли почти от полумиллиона аккаунтов, была обнаружена на неназванном сайте, собирающем утечки данных. РБК подчеркивает, что копия дампа есть в распоряжении редакции. Журналисты проверили около сотни случайных адресов из этой базы (с помощью Email Checker), и все они оказались актуальны. Впрочем, указанные пароли для входа в Ozon уже не подходят.
Ссылаясь на неназванного ИБ-эксперта, издание сообщает, что, по его мнению, утечка данных могла произойти более полугода тому назад. Так, найденный дамп был составлен из двух других, оригиналы которых были обнаружены на хакерских форумах еще в ноябре 2018 года. Именно по этой причине пароли уже могут быть неактуальны, — компания должна была принять меры после обнаружения баз в открытом доступе.
Интересно, что Ozon не сообщал о каких-либо утечках, зато в конце 2018 года технический директор компании Анатолий Орлов рассказал, что Ozon изменил систему восстановления паролей, добавив в нее дополнительное шифрование. До этого пароли тоже были защищены шифрованием, однако доступ к ним, теоретически, могли иметь сотрудники компании. Хуже того, до 2018 года в случае запроса на восстановления пароля Ozon присылал его пользователю в письме в открытом виде.
Представители пресс-службы Ozon ответили на запрос РБК следующим образом:
«Файл, о котором вы говорите, ходит по сети уже достаточно давно, и в свое время мы его также детально проверяли. В нем, насколько нам удалось разобраться, есть данные пользователей разных сервисов и в том числе достаточно старые данные некоторых пользователей Ozon.
Судя по всему, эти данные попали в Сеть, потому что пользователи из списка использовали одинаковые пароли для разных сервисов. Мошенники также могли получить их в разное время при помощи вирусной атаки на компьютеры пользователей. Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании».
Уже через несколько часов после публикации РБК на происходящее отреагировал и Роскомнадзор.
«Роскомнадзор выражает обеспокоенность действиями компании в ситуации, когда адреса электронных почт и пароли более 450 тыс. аккаунтов пользователей оказались в открытом доступе. Тот факт, что Ozon своевременно не предупредила о возникшей опасности, ставит под угрозу безопасность всех пользователей интернет-магазина. Роскомнадзор как уполномоченный орган направит письмо в Ozon для получения разъяснений от компании по возникшей утечке», — сообщили ТАСС в пресс-службе ведомства.