Ozon: среди 450 тысяч утекших учетных записей только 30 тысяч активных клиентов интернет-магазина

Роскомнадзор не считает их компрометацию нарушением прав пользователей.

Большинство аккаунтов пользователей Ozon, об утечке которых в начале июля писало РБК, оказались неактивными. Об этом говорится в разъяснениях компании для Роскомнадзора, которые ритейлер также разослал в СМИ.

Журналисты РБК обнаружили базу с адресами электронной почты и паролями 450 тысяч пользователей Ozon. Часть адресов была актуальна, но пароли для входа не подходят, писало издание 10 июля. Ритейлер настаивает, что с его стороны утечки не было, а найденная журналистами база собрана из нескольких утечек с других сервисов.

При проверке данных из файла было обнаружено, что многие аккаунты встречаются в обнаруженных ранее утечках с других сервисов - почта, социальные сети и даже игровые платформы. Это подтвердила проверка аккаунтов через поиск по сайту Leaked Source.

Более 390 тысяч аккаунтов из базы имели регистрацию на Ozon, но регистрация была их единственным действием на площадке. То есть они не сделали ни одного заказа, не имели баллов на пользовательских счетах - это указывает на автоматическую генерацию этих учетных записей.

Ozon

Только 30 тысяч пользователей из базы заходили на сайт Ozon в последние два года и имеют баллы или деньги на пользовательских счетах.

Руководитель службы информационной безопасности Ozon Александр Болотов утверждает, что компания нашла файл "[450k] Ozon.ru.txt", на который ссылается РБК, еще в конце 2018 года. После проверки базы компания сбросила пароли для всех аккаунтов из списка, предупредив об этом их владельцев.

Ритейлер не скрывал от пользователей информацию об инциденте, настаивает Болотов.

Регулярный мониторинг сайтов, где могут появиться украденные у пользователей или сервисов данные - стандартный протокол безопасности для нашей компании.

Люди очень часто используют одни и те же данные при регистрации на разных сервисах, поэтому мы проверяем любую найденную базу на наличие в ней аккаунтов пользователей Ozon, сбрасываем пароли и оперативно сообщаем пользователям о том, что их данные были скомпрометированы.

Александр Болотов

руководитель службы информбезопасности Ozon

Роскомнадзор по итогам проверки не обнаружил нарушения прав пользователей Ozon, цитирует представителя ведомства «Интерфакс».

Поскольку потока обращений клиентов Ozon в уполномоченный орган мы не зафиксировали, Роскомнадзор считает, что факт компрометации 30 тысяч клиентских аккаунтов не привел к фактическому нарушению прав субъектов персональных данных.

Роскомнадзор

Роскомнадзор счел убедительными аргументы Ozon, что оказавшаяся в открытом доступе база была скомпилирована неизвестными из различных источников. По версии ведомства, более 90% скомпрометированных данных являются результатом автогенерации паролей.