Вы за всё заплатите. Чем опасна утечка данных из Ozon и других онлайн-магазинов

СМИ узнали, что полгода назад у российского маркетплейса Ozon украли пароли и логины (почтовые адреса) почти 500 тысяч пользователей. Проверка нескольких сотен ящиков показала, что слитая база данных актуальна как минимум для спам-рассылок: имейлы активны, а пароли — нет.

Кроме того, выяснилось, что Ozon знал, но умалчивал об утечке. В случаях, когда пользователи жаловались на взлом аккаунта, сервис их же в этом и винил. Обнаружилось также, что онлайн-магазин хранил пользовательскую информацию в незашифрованном виде.

Впрочем, специалисты по информационной безопасности сошлись в том, что данная утечка не представляет никакой ценности для злоумышленников. Во всяком случае, в контексте использования Ozon. Как бы там ни было, полмиллиона россиян в потенциальной опасности. Рассказываем, что именно грозит интернет-юзерам и как защититься.

Если пользователь не помнит, где именно он регистрировался со своим почтовым ящиком, ему важно не полениться и проверить своё "мыло" на наличие крупных утечек. Сервисов, с помощью которых можно это сделать, несколько. Один из самых популярных называется have i been pwned.

Генеральный директор InfoWatch Рустэм Хайретдинов отметил, что в наибольшей безопасности почтовые адреса с корпоративными доменами.

— Разные организации нередко заказывают компаниям, обеспечивающим информационную безопасность, услугу по проверке утёкших баз данных на наличие в них корпоративных имейлов, — пояснил специалист.

Однако это не панацея. Использовать корпоративную почту для регистрации в онлайн-магазинах как минимум неудобно.

Компрометация аккаунта пользователя в одном сервисе автоматически компрометирует его в других. Не всегда, но как правило, поскольку многие имеют привычку использовать один и тот же пароль для нескольких аккаунтов. Во всяком случае, так утверждает один из старших экспертов Лаборатории Касперского Сергей Ложкин.

— Получение доступа к учётным записям может использоваться очень широко: от требования выкупа за возврат аккаунта до рассылки фишинговых писем и спама с этого адреса, — пояснил он.

Если так, то нет лучше способа себя обезопасить, чем сбросить пароль на всех сайтах, за аккаунты на которых вы переживаете. Совершенно нелишним будет включить двухфакторную аутентификацию везде где можно. В таком случае при каждой авторизации владелец аккаунта будет получать SMS-код. Без него, даже если злоумышленник введёт правильный пароль, авторизация не сработает.

Вопрос как никогда актуальный. Ведь маркетплейсы мы в первую очередь посещаем ради шопинга, который без ввода данных банковской карты невозможен. Перепечатывать номер "пластика" и имя держателя каждый раз — рутинно. Поэтому пользователи для удобства часто прикрепляют к аккаунтам платёжную информацию, чтобы нужные графы каждый раз заполнялись автоматически. Так вот, по словам гендиректора InfoWatch, в таком случае злоумышленники могут получить доступ к деньгам на чужой карте.

— Всё зависит от площадки. На некоторых сайтах невозможно подтвердить платёж без кода безопасности CVV или кода-пароля из СМС. Но не на всех, — пояснил Рустэм Хайретдинов.

Тут, кстати, нужно понимать, что данное правило распространяется не только на сайты магазинов, но и на любые онлайн-сервисы с платежами вообще. Руководитель InfoWatch рассказал, что лично наблюдал, как с карты, закреплённой за взломанным Apple ID, улетали деньги. В Китай. На оплату мобильных игр.

Но что делать, если приложения в принципе не работают без привязки карты? Например, редкий такси-сервис позволит зарегистрироваться без привязки "пластика". Ведь там она служит идентификатором. На такие случаи специалист по информационной безопасности рекомендует завести отдельную карту, с ограниченным балансом.

— Поможет и установка лимитов. Условно говоря, если вы знаете, что на парковку не тратите больше 1000 рублей в день, то и лимит на привязанную карту можете выставить такой же, — пояснил Рустэм Хайретдинов.

Для тех же целей подойдут и виртуальные карты. Они даже удобнее, поскольку их перевыпуск, случись что, займёт считаные минуты.

Консультант по информационной безопасности Cisco Systems Алексей Лукацкий считает, что такая проблема в случае утечки данных, разумеется, может возникнуть.

— Если мы говорим о достаточно безобидном сайте, то такая утечка мало чем грозит пользователю именно этого сайта. Однако если речь идёт о сайте, который продаёт более чувствительные продукты или услуги, то ситуация становится менее приятной. Понятно, мало кто хочет, чтобы весь мир узнал о его предпочтениях при приобретении секс-игрушек, — сказал он.

Будут ли вас этим шантажировать? Всё зависит от целей мошенника. Он может попробовать это сделать, поскольку наверняка уже знает номер телефона, адрес жертвы и ссылки на профили в соцсетях. В таком случае лучше всего обратиться в полицию, так как в России разглашение конфиденциальной информации карается законом.

В свою очередь Сергей Ложкин отметил, что в подавляющем большинстве случаев хакеров такая информация вообще не интересует. Додумается до такого разве что дилетант.

В то же время слив истории покупок, по мнению Лукацкого, может привести к более значительным проблемам, чем репутационный ущерб.

— Злоумышленники могут узнать, что человек, например, готовится к отпуску, и это может послужить сигналом ворам-домушникам, которые сейчас уже отслеживают соцсети, а с украденными паролями получат больше информации о своих жертвах, — заключил специалист.

В таком случае будет нелишним использовать для регистрации в онлайн-магазинах максимально чистые почтовые аккаунты, за которыми не тянутся следы присутствия в соцсетях и других онлайн-сервисах.