Горячее
Лучшее
Свежее
Подписки
Сообщества
Блоги
Эксперты

pushistijameson

На Пикабу
поставил 8965 плюсов и 1 минус
Награды:
5 лет на Пикабу
160 рейтинг 0 подписчиков 3 подписки 1 пост 0 в горячем
По времени  По рейтингу  [моё]  Поиск

Про то, как Озон пароли хранит

Недавно понадобилось восстановить пароль к аккаунту в интернет-магазине Озон, которым давно не пользовался. К моему удивлению, пройдя процедуру восстановления, я получил на почту не ссылку на сброс пароля, а один из моих очень старых паролей. В этом посте я хотел бы написать, что это означает, почему это очень плохо, что об этом говорит служба поддержки Озона и что надо сделать обычному пикабушнику, который зарегистрирован на озоне. Начну с инструкции, чтобы не заставлять читать этот местами технический текст тех, кому он неинтересен

Что надо сделать

1. Если вы не параноик вроде меня, который на каждом сайте использует уникальный случайный пароль, зайдите в личный кабинет Ozon.ru и смените пароль на такой, который вы нигде не используете и не будете использовать.

2. Поменяйте пароль на всех сервисах, где стоял тот же пароль, что был на Озоне.

3. Если у вас в личном кабинете на озоне сохранена платежная карта, хорошо подумайте, а не удалить ли ее оттуда (и надейтесь, что Озон при удалении вами карты действительно удалит эту информацию из базы данных).

4. Подумайте, а не удалить ли вообще свой аккаунт из Озона, потому как отношение к информационной безопасности у них наплевательское (об этом ниже), а данные там хранятся конфиденциальные, которыми большинство людей не хочет делиться со всеми в интернете: телефон, адрес, платежная информация.

5. Напишите в службу поддержки Озона, чтобы они уже наконец начали хешировать пароли.

Мне пришел пароль на почту, что это означает?

Это означает, что этот пароль хранится у них в базе данных, где-то под рукой: возможно просто лежит, возможно зашифрованный. Если зашифрованный, то ключ для расшифровки лежит где-то рядом в прямой доступности.

Запомните, если вы восстанавливаете забытый пароль на сайте, должен приходить не пароль, а ссылка для его сброса.

Ну хранят - и хранят. Чего в этом плохого?

1. Если в интернете что-то хранится, оно может быть украдено. И это случается с даже довольно крупными и продвинутыми компаниями. Например, в 2012 году база данных пользователей и хешей паролей LinkedIn утекла в сеть (https://en.wikipedia.org/wiki/2012_LinkedIn_hack). Другой из известных случаев - утечка базы данных пользователей и, возможно, хешей/паролей сервиса Dropbox также в 2012 году (https://www.theguardian.com/technology/2016/aug/31/dropbox-hack-passwords-68m-data-breach). Речь идет о миллионах пользователей в обоих случаях (LinkedIn - 6.5 миллионов, Dropbox - 68 миллионов).

2. Многие пользователи используют одинаковые пароли на разных сервисах (часто включая электронную почту, которая также хранится на сайтах как логин). Эти пароли можно использовать для получения доступа к другим ресурсам пользователя. Каким - придумайте сами: электронная почта (к которой часто привязано очень много самых разных аккаунтов), социальные сети (я неоднократно получал сообщения с просьбами занять денег от взломанных друзей), Госуслуги, интернет-банк.

3. "Ну взломал и взломал! Не будет же хакер взламывать аккаунты каждого из миллионов пользователей в соцсетях!" - скажет необразованный пользователь. Сам не будет. Если хакер взломал какой-то сервис и вытащил оттуда базу данных имен пользователей и паролей, это не значит, что она у него и останется. Некоторые хакеры продают такие базы или даже выкладывают в сеть просто так (1.4 миллиарда имен пользователей и паролей было найдено в сети - https://thehackernews.com/2017/12/data-breach-password-list.html)

Как тогда быть сайту?

Может показаться, что хранить пароли в базе данных - это логично, ведь им необходимо как-то проверять пароль, когда мы им пользуемся. На самом деле нет.


Для этой цели существуют специальные математические функции - hash-функции, которые в одностороннем порядке преобразовывают ваш пароль в тарабарщину (хеш), которую нельзя расшифровать обратно, поскольку часть исходных данных теряется при преобразовании. Но ваш пароль всегда останется одной и той же тарабарщиной. Теоретически, два разных пароля могут стать одной и той же тарабарщиной после хеширования, но это крайне маловероятно: например при использовании популярной хеш-функции SHA-256 надо перепробовать 2^128 (2 в 128 степени) разных паролей, чтобы с 50% вероятностью у одного из них совпал хеш с оригинальным. 2 в 128 степени - это примерно 34,000,000,000,000,000,000,000,000,000,000,000,000 (37 нулей). Кроме того, пересчет такой функции много раз требует больших вычислительных мощностей или времени, поэтому подбор правильно хешированных паролей по хешу - очень затратное мероприятие.


Обычно к вашему паролю перед преобразованием еще добавляют случайное значение - соль, которое также хранится в базе. Незначительное изменение хешируемого значения полностью меняет хранимое в базе данных значение. Это необходимо для того, чтобы ваш пароль не смогли восстановить из заранее рассчитанной базы хешей. Такие базы есть в свободном доступе для разных алгоритмов (например, эта - http://md5decrypt.net/en/).

Что об этом думает служба поддержки Ozon.ru

Получив свой пароль по электронной почте, я сразу же связался со службой поддержки Озона (help@ozon.ru), чтобы спросить, что они об этом думают, планируют ли они что-то менять и не ошибаюсь ли я в своих выводах.


Если вкратце, то позиция службы безопасности Ozon.ru такая: мы не должны обеспечивать безопасность пользовательских данных - это лучше вы следите за тем, чтобы использовать ваш пароль с осмотрительностью.


Дальше я приведу довольно длинную переписку с моими комментариями (без прощаний и форм вежливости, для экономии места). Если не хотите ее читать, прокручивайте сразу к выводам.

Про то, как Озон пароли хранит Длиннопост, Безопасность в интернете, Информационная безопасность, Бизнес, OZON
Про то, как Озон пароли хранит Длиннопост, Безопасность в интернете, Информационная безопасность, Бизнес, OZON

К их чести, они быстро ответили, что передали вопрос в службу безопасности. Следом пришел ответ:

Про то, как Озон пароли хранит Длиннопост, Безопасность в интернете, Информационная безопасность, Бизнес, OZON

Про карты ничего сказать не могу, но часть про пароль - это ложь или ошибка отвечающего. Пароль был мой старый, в письме не слова про смену пароля, а система при входе не просит его менять. О чем я им и написал:

Про то, как Озон пароли хранит Длиннопост, Безопасность в интернете, Информационная безопасность, Бизнес, OZON

Служба поддержки еще раз переслала переписку с службу безопасности. Их ответ меня очень удивил.

Про то, как Озон пароли хранит Длиннопост, Безопасность в интернете, Информационная безопасность, Бизнес, OZON

После этого ответа я попросил разрешение опубликовать эту переписку.

Выводы

1. Интернет-магазин Ozon.ru безответственно относится к информационной безопасности своих пользователей.

2. Они уже не менее пяти лет знают об этой проблеме, но ничего не сделали: описание этой проблемы было опубликовано 27 июня 2012 года на Хабре (https://habrahabr.ru/post/146591/), и автор также обращался в службу поддержки и получил на свое обращение отписку.

3. Судя по последнему ответу службы безопасности, магазин ничего менять не собирается.


Как вы считаете, что можно сделать, чтобы изменить ситуацию? Только, пожалуйста, оставайтесь в правовом поле :)

Показать полностью 5
[моё] Длиннопост Безопасность в интернете Информационная безопасность Бизнес OZON
2
Отличная работа, все прочитано!