Роскомнадзор: Утечка личных данных из Ozon не нарушила права граждан

Кибербезопасность

© РИА Новости. Алексей Мальгавко

МОСКВА, 22 июл — ПРАЙМ. Интернет-магазин Ozon представил в Роскомнадзор сведения в связи с сообщениями об утечке персональных данных клиентов, ведомство считает, что факт компрометации 30 тысяч клиентских аккаунтов не привел к фактическому нарушению прав граждан по персональным данным, сообщил журналистам пресс-секретарь Роскомнадзора Вадим Ампелонский.

Издание РБК 10 июля сообщило об обнаружении на одном из сайтов, собирающих утечки данных, базы с адресами электронной почты и паролями более 450 тысяч аккаунтов пользователей Ozon. Роскомнадзор в связи с этим направил в компанию письмо для получения разъяснений.

«Всю прошлую неделю мы активно взаимодействовали с руководством и специалистами компании Ozon, чтобы проверить сведения СМИ об утечке данных 400 тысяч клиентов интернет-магазина», — сказал Амелонский.

Утечка данных клиентов Ozon не несет серьезной угрозы, но пароли надо сменить — эксперт

«Ozon предоставила в Роскомнадзор подробный отчет о действиях, направленных на защиту прав клиентов. После обнаружения базы данных в открытом доступе, специалисты компании произвели замену скомпрометированных паролей и уведомили об этом пользователей. Поскольку потока обращений клиентов Ozon в уполномоченный орган мы не зафиксировали, Роскомнадзор считает, что факт компрометации 30 тысяч клиентских аккаунтов не привел к фактическому нарушению прав субъектов персональных данных», — сказал пресс-секретарь Роскомнадзора.

Сам Ozon заявляет об отсутствии утечки данных пользователей с его стороны, компания после обнаружения в открытом доступе файла с данными сразу сбросила скомпрометированные пароли и уведомила владельцев аккаунтов об этой ситуации; Ozon также предоставил детальные разъяснения Роскомнадзору, говорится в сообщении компании.

«Компания предоставила детальные разъяснения Роскомнадзору и дублирует их для медиа, клиентов и всех заинтересованных лиц», — говорится в сообщении Ozon. Интернет-магазин указывает, что служба безопасности компании проводит постоянный мониторинг интернета на предмет попадания данных пользователей в открытые источники с различных сервисов. В конце 2018 года во время такого мониторинга и был обнаружен в сети файл, на который ссылалось РБК.

«Служба информационной безопасности Ozon сразу после обнаружения базы проверила, есть ли в файле учетные записи пользователей интернет-магазина, сбросила пароли всех аккаунтов, относящихся к Ozon.ru. Тогда же — в конце 2018 года — компания направила пользователям, чьи данные были скомпрометированы, письма с информацией о сбросе паролей и необходимости обновления антивирусного ПО», — добавляет компания.

Руководитель службы информбезопасности Ozon Александр Болотов, слова которого приводятся в релизе, подчеркнул, что компания не скрывала от пользователей информацию об инциденте.

«В процессе проверки, которую провели после обнаружения нами файла в конце 2018 года, выяснили, что база — результат совмещения данных утечек с разных сервисов. Многие аккаунты мы обнаружили в опубликованных ранее «утечках» с различных сервисов, например, социальных сетей и игровых площадок, некоторые повторялись в документе по нескольку раз, а порядка 10% и вовсе не были зарегистрированы на Ozon.ru», — добавил Болотов.

По его словам, лишь 7% попавшей в сеть базы с данными пользователей Ozon принадлежат реальным клиентам интернет-магазина, для подавляющего большинства аккаунтов регистрация на ozon.ru была единственным действием на площадке компании.

«Для подавляющего большинства — больше чем для 390 тысяч аккаунтов — регистрация на Ozon.ru являлась единственным действием на площадке компании, что говорит об автоматической их генерации. Всего 7% попавшей в сеть базы действительно принадлежат реальным пользователям Ozon — они заходили на сайт в последние два года или имеют баллы или деньги на пользовательских счетах», — сказал Болотов, слова которого приводятся в сообщении.

Компания также указывает, что подобные базы обычно собирают из разных источников путем проверки попавших в сеть данных пользователей с одного ресурса на других площадках, а затем дополняют автоматически сгенерированными аккаунтами для повышения ценности.

Источник