22 июля 2019 года
Прайм, 22.07.19:
Интернет-магазин Ozon представил в Роскомнадзор сведения в связи с сообщениями об утечке персональных данных клиентов, ведомство считает, что факт компрометации 30 тысяч клиентских аккаунтов не привел к фактическому нарушению прав граждан по персональным данным, сообщил журналистам пресс-секретарь Роскомнадзора Вадим Ампелонский.
Издание РБК 10 июля сообщило об обнаружении на одном из сайтов, собирающих утечки данных, базы с адресами электронной почты и паролями более 450 тысяч аккаунтов пользователей Ozon. Роскомнадзор в связи с этим направил в компанию письмо для получения разъяснений.
"Всю прошлую неделю мы активно взаимодействовали с руководством и специалистами компании Ozon, чтобы проверить сведения СМИ об утечке данных 400 тысяч клиентов интернет-магазина", — сказал Ампелонский.
"Ozon предоставила в Роскомнадзор подробный отчет о действиях, направленных на защиту прав клиентов. После обнаружения базы данных в открытом доступе, специалисты компании произвели замену скомпрометированных паролей и уведомили об этом пользователей. Поскольку потока обращений клиентов Ozon в уполномоченный орган мы не зафиксировали, Роскомнадзор считает, что факт компрометации 30 тысяч клиентских аккаунтов не привел к фактическому нарушению прав субъектов персональных данных", — сказал пресс-секретарь Роскомнадзора.
Сам Ozon заявляет об отсутствии утечки данных пользователей с его стороны, компания после обнаружения в открытом доступе файла с данными сразу сбросила скомпрометированные пароли и уведомила владельцев аккаунтов об этой ситуации; Ozon также предоставил детальные разъяснения Роскомнадзору, говорится в сообщении компании.
"Компания предоставила детальные разъяснения Роскомнадзору и дублирует их для медиа, клиентов и всех заинтересованных лиц", — говорится в сообщении Ozon. Интернет-магазин указывает, что служба безопасности компании проводит постоянный мониторинг интернета на предмет попадания данных пользователей в открытые источники с различных сервисов. В конце 2018 года во время такого мониторинга и был обнаружен в сети файл, на который ссылалось РБК.
"Служба информационной безопасности Ozon сразу после обнаружения базы проверила, есть ли в файле учетные записи пользователей интернет-магазина, сбросила пароли всех аккаунтов, относящихся к Ozon.ru. Тогда же — в конце 2018 года — компания направила пользователям, чьи данные были скомпрометированы, письма с информацией о сбросе паролей и необходимости обновления антивирусного ПО", — добавляет компания.
Руководитель службы информбезопасности Ozon Александр Болотов, слова которого приводятся в релизе, подчеркнул, что компания не скрывала от пользователей информацию об инциденте.
"В процессе проверки, которую провели после обнаружения нами файла в конце 2018 года, выяснили, что база — результат совмещения данных утечек с разных сервисов. Многие аккаунты мы обнаружили в опубликованных ранее "утечках" с различных сервисов, например, социальных сетей и игровых площадок, некоторые повторялись в документе по нескольку раз, а порядка 10% и вовсе не были зарегистрированы на Ozon.ru", — добавил Болотов.
По его словам, лишь 7% попавшей в сеть базы с данными пользователей Ozon принадлежат реальным клиентам интернет-магазина, для подавляющего большинства аккаунтов регистрация на ozon.ru была единственным действием на площадке компании.
"Для подавляющего большинства — больше чем для 390 тысяч аккаунтов — регистрация на Ozon.ru являлась единственным действием на площадке компании, что говорит об автоматической их генерации. Всего 7% попавшей в сеть базы действительно принадлежат реальным пользователям Ozon — они заходили на сайт в последние два года или имеют баллы или деньги на пользовательских счетах", — сказал Болотов, слова которого приводятся в сообщении.
Компания также указывает, что подобные базы обычно собирают из разных источников путем проверки попавших в сеть данных пользователей с одного ресурса на других площадках, а затем дополняют автоматически сгенерированными аккаунтами для повышения ценности.