Взлом OneLogin: хакеры получили доступ к данным пользователей Amazon | Forbes.ru
сюжеты
$56.52
69.31
ММВБ2308.61
BRENT69.43
RTS1285.33
GOLD1336.44

Взлом OneLogin: хакеры получили доступ к данным пользователей Amazon

читайте также
+1866 просмотров за суткиВойны шифрования. Как Apple сотрудничает с ФБР и обучает полицейских +103 просмотров за суткиИтальянская работа. Обнаружена одна из мощнейших шпионских программ для Android +24 просмотров за суткиAmazon опередила Google в битве за «умный дом» +366 просмотров за суткиМагия чисел. Почему Джефф Безос так и не стал богатейшим человеком в истории +111 просмотров за суткиНеудержимый Безос: состояние основателя Amazon приблизилось к отметке $105 млрд +9 просмотров за суткиНа радость хакеру. Самые показательные киберинциденты 2017 года +9 просмотров за суткиПревентивная защита. Как найти универсальный способ защиты от хакеров +7 просмотров за суткиХакеры попались. Европол арестовал в Румынии вымогателей биткоинов +7 просмотров за суткиРобот-хакер. Как применять искусственный интеллект в кибербезопасности +2 просмотров за суткиНайти и обезвредить: как «Лаборатория Касперского» судится с властями США +1 просмотров за суткиВиртуальное безделье. Работодатели расплачиваются за интернет-серфинг сотрудников Цельнозерновая оболочка: уничтожит ли Amazon рынок продуктового ритейла +5 просмотров за суткиКасперский обещает вывести бизнес из России, если его попросят шпионить +8 просмотров за суткиНалоговые оптимизаторы: как Apple, Amazon и McDonald’s избегают излишних затрат +83 просмотров за суткиСостояние Джеффа Безоса превысило $100 млрд +13 просмотров за суткиИнтервью хакера: «Взломать можно кого угодно» +5 просмотров за суткиПример для Цукерберга: китайский мессенджер опередил Facebook по рыночной стоимости +10 просмотров за суткиРоссияне предпочитают Aliexpress и Amazon отечественным интернет-магазинам Uber пытался скрыть атаку хакеров, укравших данные 57 млн клиентов и водителей Бронежилет для смартфона. Как бизнесу защититься от вирусов-вымогателей +1 просмотров за суткиИпотека и наследство на блокчейне. Как новые технологии могут сократить очереди к чиновникам

Взлом OneLogin: хакеры получили доступ к данным пользователей Amazon

Иван Новиков Forbes Contributor
В официальном сообщении OneLogin говорится, что хакерам удалось получить доступ к платформе, на которой размещены все ресурсы компании. Как сервис сторонней аутентификации ставит на кон данные миллионов пользователей?

Сегодня ночью сервис авторизации OneLogin разослал клиентам и партерам сообщение о взломе, а также опубликовал в своем блоге сообщение об инциденте. OneLogin — это облачный сервис для аутентификации пользователей, а также для  управления учетными записями. Как работают подобные сервисы? Они позволяют создателям приложений вместо того, чтобы вести учет пользователей и выполнять их аутентификацию на своей стороне, делегировать эту функцию стороннему сервису. Как мы видим, это делегирование не всегда оказывается безопасным. 

Клиентами OneLogin являются более 2000 компаний из 44 стран мира, а партнерами — более 300 производителей приложений и около 70 производителей SaaS-сервисов. OneLogin можно по праву назвать одним из основных игроков рынка.

В официальном сообщении говорится, что хакерам удалось получить доступ к платформе Amazon, на которой размещены все ресурсы компании. Как именно были похищены ключи доступа от Amazon OneLogin —  не раскрывается. Многие эксперты (в том числе и я) предполагают, что имела место некорректная конфигурация инфраструктуры, в результате которой компрометация одного узла неизбежно приводила к компрометации всех ключей доступа и, как следствие, ресурсов. Такое случается, например, из-за небрежной настройки средств централизованного управления пакетами конфигурационными файлами, такими как Ansible, Puppet, Chef.

Примечательно, что компания заявила, что помимо доступа к базам атакующим удалось также получить и доступ к ключам шифрования данных в них. Возникает резонный вопрос: зачем вообще в таком случае компания шифровала данные? Это в очередной раз вскрывает большую и хорошо известную проблему качества внедрения средств защиты информации, которые часто используются лишь формально. Разработчики «для галочки» соблюдают условия и требования, не ставя целью фактическую безопасность.

Оценить масштаб катастрофы, связанной со взломом OneLogin, сложно, но и переоценить его тоже практически невозможно. У атакующих находятся данные нескольких сотен конечных пользователей и, что самое главное, ключи доступа к различным сервисам — почте, офисным приложениям и пр. Эти ключи могут годами быть активными, и даже смена пароля не может отнять доступ у их владельца. Компания утверждает, что работает со всеми партнерами по отзыву всех ключей доступа к данным пользователей.

Для рядовых веб-проектов такая массовая утечка будет означать новые волны атак типа credential stuffing, при которых хакеры массово пробуют известные украденные логины и пароли на предмет доступа к другим ресурсам, в частности к банкам и интернет-магазинам. Такие атаки являются очень эффективными и успешными вследствие использования пользователями одних и тех же паролей на разных интернет-сервисах.

Интересно, что это первый случай взлома подобного рода проектов и такого масштаба. Ранее внимание экспертов часто привлекал только сам протокол аутентификации OAuth, в котором обнаруживалось множество недочетов. Но все это не идет в сравнение с масштабом утечки данных в случае взлома самого сервиса сторонней аутентификации. Эксперты предсказывают массовый переход компаний от сервисов сторонней аутентификации в пользу локальных внедрений таких систем. Данный инцидент открывает новую страницу в истории массовых взломов, и, вероятно, можно ожидать новые успешные атаки хакеров на другие сервисы аутентификации — очень уж вкусной оказывается их добыча.

 
Закрыть
Уведомление в браузере
Будь в курсе самого главного.
Новости и идеи для бизнеса -
не чаще двух раз в день.
Подписаться