- PVSM.RU - https://www.pvsm.ru -
Недели две назад на Хабре обсуждался взлом паролей на Linkedin. Типа, алгоритм шифрования старый, соль не изпользуется и т.д. Это все мелочи.
Решил я вспомнить пароль от своего аккаунта на Озоне (давно не заходил туда, около двух лет). В соответствующей форме внес свой email и вот, что получил:
Здравствуйте, <мое имя>!
Вы зарегистрированы в интернет-магазине OZON.ru!
Ваш логин: <мой логин>
Ваш пароль: <мой старый пароль, который я действительно использовал>Вы всегда можете поменять свой пароль в разделе «Мой OZON».
Действующий пароль выслан в открытом виде! Это означает одно из двух:
1. Пароли в Озоне хранятся в БД в незашифрованном виде
2. Используется «левый» алгоритм шифрования (без использования хэшей), который позволяет восстановить пароль зная сам алгоритм и зашифрованный пароль.
Не поверив своим глазам, я написал email в техподдержку Озона с описанием проблемы. В ответ получил вот такое:
Добрый день, <мое имя>!
Вы в любой момент самостоятельно можете получить Ваш пароль и логин.
Для этого достаточно зайти на страницу www.ozon.ru/?context=forgotpassword [1] и в форме «забыли пароль?» ввести Ваш E-mail.
Логин и пароль будут автоматически высланы на Ваш электронный адрес.
Информация о логинах и паролях высылается по запросу каждого клиента индивидуально.
Данная информация является сугубо конфиденциальной.
Надеемся на Ваше понимание.
С уважением, <имя сотрудника Озона>
Специалист Службы по работе с клиентами
Онлайн-мегамаркет №1 OZON.ru
www.ozon.ru [2]
Собственно, больше добавить нечего.
Автор: Kiborg777
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/informatsionnaya-bezopasnost/10289
Ссылки в тексте:
[1] www.ozon.ru/?context=forgotpassword: http://www.ozon.ru/?context=forgotpassword
[2] www.ozon.ru: http://www.ozon.ru
Нажмите здесь для печати.