Ozon: пользователям сервиса принадлежит лишь «несколько процентов» из 450 тысяч попавших в сеть логинов и паролей

В Ozon заявили, что из 450 тысяч обнаруженных РБК логинов и паролей пользователям интернет-магазина принадлежит «не больше нескольких процентов» записей. По данным компании большая часть из аккаунтов — неактивны. Об этом TJ сообщили в пресс-службе Ozon.

Эксперты, с которыми связались журналисты, утверждают, что потенциально все аккаунты могут принадлежать нашим клиентам — но только потому, что у Ozon больше 30 млн пользователей. Среди 450 тысяч записей число данных, принадлежащих пользователям компании, не превышает нескольких процентов.

пресс-служба Ozon

В компании пояснили, что большая часть обнаруженных аккаунтов не проявляет активности долгое время, и служба безопасности следит за такими профилями «особенно пристально». Представители Ozon утверждают, что сервис сбросил пароли у пользователей ещё в 2018 году — почти сразу после появления данных в сети.

В декабре 2018 года техдиректор Ozon Анатолий Орлов случайно проговорился, что компания хранила пароли в недостаточно защищённом виде до его прихода. По его словам, даже в этом случае сотрудники могли получить доступ к данным только «в теории».

10 июля РБК сообщил о появлении в открытом доступе базы данных с 450 тысячами логинов и паролей пользователей Ozon. Опрошенные изданием эксперты утверждали, что утечка произошла ещё полгода назад и могла случиться из-за сотрудников, хакеров или хранения паролей в открытом виде.

После публикации РБК Роскомнадзор заявил, что потребует у Ozon объяснения в связи с утечкой. По словам пресс-службы ведомства, интернет-магазин вовремя не предупредил клиентов об утечке и поставил их под угрозу.

Представители Роскомнадзора отметили, что логины и пароли можно отнести к персональным данным, так как они позволяют совершать действия от имени пользователя. При этом в ведомстве пообещали внести изменения законодательно, чтобы обязать компании сразу сообщать об утечках данных. Правки внесут в соответствии с обновлённой Конвенцией Совета Европы о защите физических лиц при автоматизированной обработке персональных данных.

Источник: tjournal.ru