Hi-Tech

Ozon.ru перестал присылать старые пароли пользователям в открытом виде

Ozon.ru перестал присылать старые пароли пользователям в открытом виде — Сервисы на vc.ru

Свежее

Вакансии

Написать

Уведомлений пока нет

Пишите хорошие статьи, комментируйте,
и здесь станет не так пусто

Войти

Пользователи впервые заметили эту проблему в 2012 году.

В закладки

Об этом со ссылкой на слова техдиректора компании Анатолия Орлова пишет TJ. Онлайн-ритейлер Ozon.ru прекратил присылать старые пароли пользователям в открытом виде.

По словам Орлова, он попросил исправить проблему с паролями в апреле 2018 года, когда приступил к работе в Ozon.ru. Орлов рассказал о новой системе хранения паролей в ответ на комментарий одного из пользователей «Хабра».

Ветка находилась в комментариях под материалом об Ozon.ru Скриншот Telegram-канала G33ks

Орлов не ответил на запрос TJ, пресс-служба Ozon.ru на момент написания заметки не смогла подтвердить информацию из его комментариев. Сейчас ветка с этими комментариями удалена: возможно, из-за мата, который нарушает правила «Хабра». Представитель компании сообщила, что слова Орлова на скриншоте вырваны из контекста и пообещала уточнить данные.

С 2012 года пользователи «Хабра» и «Пикабу» жаловались, что ответ на попытку восстановить пароль Ozon.ru присылал старый пароль в незашифрованном виде. Редактор TJ попробовал восстановить пароль от Ozon.ru и получил ссылку на сброс пароля.

Обновлено: Анатолий Орлов уточнил, что речь в комментариях шла только о передаче, а не о хранении паролей.

Так вот раньше, если пользователь восстанавливал пароль с привязанной к аккаунту почты, Ozon ему этот пароль присылал ответным письмом. На «Хабре» обсуждалось следующее: как Ozon раньше отправлял (а не хранил) пользователям пароли при их сбросе. При этом если пароль не восстанавливали, а пользователь регистрировался или менял пароль сам, то Ozon ему ничего не высылал, естественно.

Не в открытом доступе Excel-табличке, а в виде кода. При этом в базе пароли хранились в кодированном виде. Отслеживание поведения таких сотрудников с доступами — это отдельная история, не будем вдаваться в подробности, чтобы никого не провоцировать. Это означает, что получить эти пароли мог — да и то теоретически — сотрудник компании, у которого был доступ в базу и ключ кодирования.

Сами понимаете, интернет-мошенники все изобретательнее, а пользователей у компании все больше. В 2018 году пришла новая команда, которая сделала серьезную работу для усиления безопасности. Лучше всего оберегаются те секреты, которые ты сам не знаешь. Сейчас все пароли пользователей хранятся в хэшированном виде (aka «закодированные необратимым образом») — от пароля вычисляется необратимая функция, в результате проверить его можно, вычислив от него такую же функцию, но восстановить его невозможно.

Анатолий Орлов

техдиреткор Ozon.ru

#новость #ozon

Push-уведомления

{ "page_type": "article" }

["\u0425\u0430\u043a\u0435\u0440\u044b \u0441\u043c\u043e\u0433\u043b\u0438 \u043e\u0431\u043e\u0439\u0442\u0438 \u0434\u0432\u0443\u0445\u0444\u0430\u043a\u0442\u043e\u0440\u043d\u0443\u044e
\u0430\u0432\u0442\u043e\u0440\u0438\u0437\u0430\u0446\u0438\u044e \u0441 \u043f\u043e\u043c\u043e\u0449\u044c\u044e \u0443\u0433\u043e\u0432\u043e\u0440\u043e\u0432","\u041a\u043e\u043c\u043f\u0430\u043d\u0438\u044f \u043e\u0442\u043a\u0430\u0437\u0430\u043b\u0430\u0441\u044c \u043e\u0442 email
\u0432 \u043f\u043e\u043b\u044c\u0437\u0443 \u043e\u0431\u0449\u0435\u043d\u0438\u044f \u043f\u0440\u0438 \u043f\u043e\u043c\u043e\u0449\u0438 \u043c\u0435\u043c\u043e\u0432","\u041f\u0440\u0438\u043b\u043e\u0436\u0435\u043d\u0438\u0435-\u043f\u043b\u0430\u0446\u0435\u0431\u043e \u0441\u043a\u0430\u0447\u0430\u043b\u0438
\u0431\u043e\u043b\u044c\u0448\u0435 \u043c\u0438\u043b\u043b\u0438\u043e\u043d\u0430 \u0440\u0430\u0437","\u0413\u043e\u043b\u043e\u0441\u043e\u0432\u043e\u0439 \u043f\u043e\u043c\u043e\u0449\u043d\u0438\u043a \u0432\u044b\u043a\u0443\u043f\u0438\u043b
\u043a\u043e\u043c\u043f\u0430\u043d\u0438\u044e-\u0441\u043e\u0437\u0434\u0430\u0442\u0435\u043b\u044f","\u041d\u0435\u0439\u0440\u043e\u043d\u043d\u0430\u044f \u0441\u0435\u0442\u044c \u043d\u0430\u0443\u0447\u0438\u043b\u0430\u0441\u044c \u0447\u0438\u0442\u0430\u0442\u044c \u0441\u0442\u0438\u0445\u0438
\u0433\u043e\u043b\u043e\u0441\u043e\u043c \u041f\u0430\u0441\u0442\u0435\u0440\u043d\u0430\u043a\u0430 \u0438 \u0441\u043c\u043e\u0442\u0440\u0435\u0442\u044c \u0432 \u043e\u043a\u043d\u043e \u043d\u0430 \u043e\u0441\u0435\u043d\u044c","\u041a\u043e\u043c\u0430\u043d\u0434\u0430 \u043a\u0430\u043b\u0438\u0444\u043e\u0440\u043d\u0438\u0439\u0441\u043a\u043e\u0433\u043e \u043f\u0440\u043e\u0435\u043a\u0442\u0430
\u043e\u043a\u0430\u0437\u0430\u043b\u0430\u0441\u044c \u043d\u0435\u0439\u0440\u043e\u043d\u043d\u043e\u0439 \u0441\u0435\u0442\u044c\u044e"]

Хакеры смогли обойти двухфакторную
авторизацию с помощью уговоров

Подписаться на push-уведомления

Показать больше

Похожие статьи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»
Закрыть