Администрация Molotok.ru просит пользователей сменить пароли

image

Теги: уязвимость, безопасность, пароль, мошенничество

Администрация крупнейшего в России онлайнового аукциона Molotok.ru попросила пользователей этого сервиса сменить пароли. Причина сформулирована так: «В ходе тестирования была выявлена ошибка, которая могла привести к потере личных данных».

Несколько дней назад на ленте новостей сайта Molotok.ruMolotok.ru входит в польский холдинг Allegro, который принадлежит совладельцу Mail.ru Group, южноафриканской компании Naspers появилось следующее уведомление:

23 ноября проводилось тестирование новых методов работы WebAPI. В ходе тестирования была выявлена ошибка, которая могла привести к потере личных данных.

Проблема была решена, но пользователям, которых затронула эта проблема, в целях повышения безопасности необходимо изменить пароль для входа на Молоток.Ру. Информационное письмо об этом было отправлено по электронной почте. Кроме того, форма изменения пароля доступна при попытке авторизации.

Если вы продаете или покупаете на других платформах, используя тот же самый пароль, также измените его на каждой из них.

Мы полностью проанализировали данное происшествие, чтобы избежать подобного в будущем. Случаи мошенничества, связанные с этой ошибкой, пока не наблюдались, но мы непрерывно отслеживаем работу сайта и попытки незаконного использования личных данных.

Однако, позже текст сообщения был изменен. Из него исчезли фразы о потере личных данных, смене паролей на других сервисах и мошенничестве.

По словам руководителя департамента маркетинга Molotok.ru Александра Кудасова, первоначальное сообщение изменено из-за того, что смена паролей «была неправильно аргументирована». Он отметил, что речь идет лишь о нескольких тысячах пользователей, составляющих не более 2% клиентской базы Molotok.ru.

Служба поддержки Molotok.ru отрицает утрату паролей, но признает, что система защиты была небезупречна. «23 ноября была усовершенствована система защиты персональных данных, — говорится в официальном ответе компании, — и в целях безопасности было решено рекомендовать изменить пароль тем пользователям, чьи данные не были защищены надлежащим образом».


или введите имя

CAPTCHA
03-12-2010 14:44:19
А не проще установить параметр "сменить пароль при следующем входе".
0 |
Гость
03-12-2010 15:13:07
Сильно смахивает на типичное фишинговое сообщение.
0 |
Гость‮
03-12-2010 15:17:01
Да слили у них БД просто, вот и всё.
0 |
Ujcnm
03-12-2010 15:26:48
Или сайт поломали и разместили на нем фишинг паролей
0 |
Молоток.Ру
03-12-2010 15:44:54
Что-то все намешали... Никакая информация НЕ БЫЛА утеряна. Если внимательно посмотреть первоисточник, то можно заметить, что причины смены пароля заключаются в том, что была изменена система проверки безопасности. Мы попросили сменить пароли тех пользователей, которые были слабыми. Таких пользователей было не более 2%. Такую процедуру мы неоднократно проводили и не понимаем, почему в этот журналисты так неадекватно отреагировали.
0 |
Егор
03-12-2010 17:26:27
Потому, что журналисты, как правило, это люди воинственно-некомпетентные, берущиеся "авторитетно" судить обо всем на свете, и смертельно оскорбляющиеся, если их ставят на место.
0 |
03-12-2010 17:30:20
А почему Вы нервничаете если всё нормально?
0 |
dimko
03-12-2010 22:23:24
боюсь представить как зафлеймит меня аудитория младшего школного возраста, но по сути факт что Молоток придал сей факт огласке - правилное решение! Закапывать голову в песок - не решение. Предупредить ползователей - шаг в правильном направлении. Только "зрелый" бизнес мог пойти на такое. Возможно в Росии не всё потерянно.
0 |
Brain
05-12-2010 09:17:17
Хм, а разве пароли хранятся в чистом виде, что можно судить о их слабости?
0 |
dimko
05-12-2010 14:13:43
Ты мне не поверишь, но админы могут иметь доступ к паролям даже если они и не хранятся в "cleartext" режиме. А сделать прогу, которая их проверит на "слабость" - вообще пару пальцев об асфальт.
0 |