Фото: Артем Геодакян / ТАСС
Представители Роскомнадзора заявили, что компрометация около 30 тысяч аккаунтов клиентов онлайн-магазина Ozon не привела к нарушению прав пользователей. Об этом заявил Вадим Ампелонский: «Поскольку потока обращений клиентов Ozon в уполномоченный орган мы не зафиксировали, Роскомнадзор считает, что факт компрометации 30 тыс. клиентских аккаунтов не привел к фактическому нарушению прав субъектов персональных данных».
По его словам, ведомство активно сотрудничало с Ozon, для того, чтобы проверить сведения об утечке данных 400 тысяч клиентов. Роскомнадзор пояснил, что в ходе проверки онлайн-магазин представил доказательства несущественности утекших в интернет данных. База была скомпилирована из разных источников, и более 90% этой БД содержит созданные автоматически пароли.
Около 30 тысяч пар «логин-пароль» оказались подлинными". Ozon предоставил ведомству отчет, в котором говорится, что после обнаружения базы данных в открытом доступе компания заменила все пароли, уведомив об этом пользователей.
Ампелонский сообщил, что, согласно Европейской конвенции по защите прав субъектов персональных данных, к которой присоединилась и Россия, операторы персональных данных должны уведомлять уполномоченные органы о факта утечек. Эта норма будет добавлена в российское законодательство.
Ранее компания заявила следующее по поводу утечки: «Файл, о котором вы говорите, ходит по Сети уже достаточно давно, и в свое время мы его также детально проверяли. В нем, насколько нам удалось разобраться, есть данные пользователей разных сервисов и в том числе достаточно старые данные некоторых пользователей Ozon. Судя по всему, эти данные попали в Сеть, потому что пользователи из списка использовали одинаковые пароли для разных сервисов. Мошенники также могли получить их в разное время при помощи вирусной атаки на компьютеры пользователей. Из соображений безопасности мы сразу после обнаружения файла сбросили пароли у тех учетных записей из списка, которые принадлежали пользователям Ozon. Мы всегда проводим сброс паролей в случаях, если наши специалисты находят данные в открытом виде в интернете, — это политика компании».
Эксперты по сетевой безопасности считают, что данные в сеть могли попасть тремя путями. Первый — чисто человеческий фактор, то есть сотрудник или сотрудники Ozon выложили базу или продали ее злоумышленникам. Второй путь — взлом инфраструктуры, третий — неправильно настроенный внешний сервер, который был открыт внешнему миру.
Юристы не совсем согласны с Роскомнадзором. Так, по мнению некоторых специалистов, данные, которые утекли в сеть, являются персональными данными граждан РФ. Согласно закону «О персональных данных» компания, которая хранит учетные записи, обязана обеспечивать сохранность и конфиденциальность, а также устранять риски утечки. Если к последней привела халатность оператора, то его можно привлечь к административной ответственности. «Статьей 13.11 КоАП за такое нарушение предусмотрен штраф для юридических лиц в размере от 30 тыс. до 50 тыс. руб., который в масштабах бизнеса Ozon можно назвать незначительным», — уточнил партнер юридической компании НАФКО Павел Иккерт.
Но для того, чтобы назначить наказание, Роскомнадзору необходимо установить наличие состава преступления. Поскольку ведомство не нашло ничего противозаконного, скорее всего, на этом история и закончится.
Комментарии (27)
lesha_firs
23.07.2019 12:37Я что-то не пойму. получается база не шифруется у OZON?
tvr
23.07.2019 13:32+7А зачем?
Регулятор же сказал — всё в порядке, ничего страшного не произошло.
Вот когда (и если) налетят на серьёзные санкции — тогда и почешутся.
А до тех пор каков смысл тратить деньги на перестройку бизнес-процессов?
mapatka
23.07.2019 15:52Ну банально — логин пароль украли от личного кабинета (ЛК).
Зашли в ЛК с этим логином и паролем.
Списали ваш адрес и фио + всю инфу из ЛК.
Как шифровать адрес то?lesha_firs
23.07.2019 18:38+2мы шифруем email, адрес, телефон, и т.д. это вроде безопасно. Даже соблазна нет, админу продать БД.
mapatka
24.07.2019 09:03То есть вы не отдаете эти данные пользователю в личном кабинете?
lesha_firs
26.07.2019 12:35отображаем, но это не значит что в БД лежит в открытом виде ваш емайл
mapatka
26.07.2019 12:43Я же написал вам пример, который, как я понял, указан в статье.
То есть скомпрометированы пары логин-пароль, может быть даже не на Озоне.
Под этим логин-паролем совершается вход и парсится доступная информация. Каким образом поможет шифрование?lesha_firs
26.07.2019 13:25я понимаю 1 или 2 пользователя, но целая база логин/пароль. это не оплошность и не случайность, это направлена атака, или кража данных из БД, ну или неквалифицированный отдел разработки/qa/отдел безопасности.
И должны быть приняты какие-то меры, а получается OZON просто не хочет что-бы его пользователи были в безопасности.
Iv38
23.07.2019 16:28Это крайне маловероятно. И поэтому интересно кто же эти эксперты по безопасности со своими странными предположениями о происхождении базы. Озон вполне разумно объясняет происхождение. И такие "сливы" происходят из года в год.
lesha_firs
23.07.2019 18:44OZON не маленькая компания, странно, что у них нет отдела безопасности, ну, или они уровня middle, что не предают этому должного внимания.
Iv38
23.07.2019 20:18Я возможно не слишком ясно выразился. Я думаю, у Озона пароли в БД посолены и хешированы как положено. Поэтому слив базы мог бы привести к разглашению каких-то персональных данных (которые хранятся открыто), но не паролей, как считают эти странные "эксперты".
Озон настаивает, что пароли получены иными способами. И скорее всего это действительно так. Просто пароли юзеры используют одни и те же, так что некоторые и к Озону подходят. Такие обвинения несколько лет назад огребал и Яндекс, и Мейлру, и Гмейл. Это желтая сенсация, а заголовок создает ощущение, что РКН покрывает Озон, что увеличивает жаренность втрое.
vics001
23.07.2019 16:55Зачем шифровать базу? К базе всегда есть доступ от сервера, по определению, через который все и утекает.
Никто не подымает отдельный сервер с отдельными правами, для каждого пользователя.lesha_firs
23.07.2019 18:40вообще. ключи пользователя лежать отдельно, а перс.данные лежат отдельно и шифруются (ну вообще должны шифроваться). тогда слива не будет… или по крайней мере, будет меньше инцидентов. стремно, что крупная компания OZON плюет на безопасность перс.данных пользователя.
vics001
23.07.2019 19:57Я вас умаляю, на практике нигде не видел, чтобы на 100% так работало. В любом случае, application server имеет доступ ко всем учеткам. Проверить это легко, если дешифрационный ключ хранится где-нибудь на сервере кроме cookie, то доступ есть и шифировать абсолютно бесполезно.
lesha_firs
23.07.2019 20:22Это все понятно. 100% зашиты нет. Но мы можем максимально усложнить доступ к данным. Свести доступы к ключам и данным, минимуму количеству людей, тогда найти виноватого и причину проще. Чем если у всего отдела разработки, QA, аналитиков… есть доступ к перс.данным пользователя, и оправдывается, да тут любой мог слить БД.
vics001
23.07.2019 20:41Зачем? Я как программист 100% знаю, что application server имеет доступ к базе данных, следовательно, получив, доступ к системе и процессу app server, я точно получу полную БД. Так, что либо уязвимость в app server, либо из памяти можно прочитать и выполнить любой запрос.
Запутанность, ничего не решает. С центральным доступом, шифрование дополнительные расходы, но защиту надо продумывать, конечно.lesha_firs
23.07.2019 22:29Так, откуда у тебя доступ к проду:) в современной жизни есть доступ к проду, в больших компаниях у 1-2 людей и у автодеплойки.
eugene08
23.07.2019 23:38большая компания — много продуктов, поддержка 24/7 — в тех где я работал доступ к проду имели примерно с десяток человек. Прикинем на пальцах — 2 девопса в европе, 2 девопса в штатах + 3-4 синьора а разных таймзонах. И чем сложнее продукт тем больше людей имеют доступ.
lesha_firs
23.07.2019 22:38На сколько я помню, может я ошибаюсь, без привилегий в docker память не прочитать. Я ошибаюсь?
vics001
24.07.2019 00:50Проще думать от уязвимости:
1. Если у тебя уязвимость или доступ полный через app server (application) — т.е. можешь вставлять любой код, то у тебя полный доступ ко всему, что есть у application, а именно db.
2. Если у тебя доступ к root машины, то у тебя автоматом доступ ко всем приложениям.
Остальные варианты, сложны и надо рассматривать отдельно, но эти взломы и реже встречаются. Это больше похоже, как взломать одно приложение, если ты получил доступ к другому, чаще всего нельзя. Docker мне кажется не влияет существенно.
ialexander
23.07.2019 20:39Мы пока не знаем плюет ли Озон на безопасность данных пользователей.
Факт файла со списком пользователей и словом ozon в названии ещё ни о чем не говорит. Один мой старый e-mail был среди утёкших данных какого-то американского сайта о котором я ни разу не слышал. Там тоже говорили, что данные были скомпонованы и представлены так будто утекла база того сайта.
В данном случае Озон заявляет, что только часть e-mail’ов принадлежит его пользователям.
shalm
23.07.2019 20:20По умолчанию любой чиновник настроен на «не пущать» и обычно становится «одобрямс» после взятки.
Umpiro
23.07.2019 21:40То есть 'поскольку по поводу утечки ПД в суд никто не обращается, обращаться в суд по этому поводу Роскомнадзор не советует.'?
gudvinr
Новость особо интересно выглядит на фоне соседней новости об увеличении обращений граждан по отношению к персональным данным. От того же Роскомнадзора.