К сожалению, сайт не работает без включенного JavaScript. Пожалуйста, включите JavaScript в настройках вашего броузера.
Рассылка Forbes
Самое важное о финансах, инвестициях, бизнесе и технологиях

Новости

 

Взлом OneLogin: хакеры получили доступ к данным пользователей Amazon

Взлом OneLogin: хакеры получили доступ к данным пользователей Amazon
В официальном сообщении OneLogin говорится, что хакерам удалось получить доступ к платформе, на которой размещены все ресурсы компании. Как сервис сторонней аутентификации ставит на кон данные миллионов пользователей?

Сегодня ночью сервис авторизации OneLogin разослал клиентам и партерам сообщение о взломе, а также опубликовал в своем блоге сообщение об инцидентеOneLogin — это облачный сервис для аутентификации пользователей, а также для  управления учетными записями. Как работают подобные сервисы? Они позволяют создателям приложений вместо того, чтобы вести учет пользователей и выполнять их аутентификацию на своей стороне, делегировать эту функцию стороннему сервису. Как мы видим, это делегирование не всегда оказывается безопасным. 

Клиентами OneLogin являются более 2000 компаний из 44 стран мира, а партнерами — более 300 производителей приложений и около 70 производителей SaaS-сервисов. OneLogin можно по праву назвать одним из основных игроков рынка.

В официальном сообщении говорится, что хакерам удалось получить доступ к платформе Amazon, на которой размещены все ресурсы компании. Как именно были похищены ключи доступа от Amazon OneLogin —  не раскрывается. Многие эксперты (в том числе и я) предполагают, что имела место некорректная конфигурация инфраструктуры, в результате которой компрометация одного узла неизбежно приводила к компрометации всех ключей доступа и, как следствие, ресурсов. Такое случается, например, из-за небрежной настройки средств централизованного управления пакетами конфигурационными файлами, такими как Ansible, Puppet, Chef.

 

Примечательно, что компания заявила, что помимо доступа к базам атакующим удалось также получить и доступ к ключам шифрования данных в них. Возникает резонный вопрос: зачем вообще в таком случае компания шифровала данные? Это в очередной раз вскрывает большую и хорошо известную проблему качества внедрения средств защиты информации, которые часто используются лишь формально. Разработчики «для галочки» соблюдают условия и требования, не ставя целью фактическую безопасность.

Оценить масштаб катастрофы, связанной со взломом OneLogin, сложно, но и переоценить его тоже практически невозможно. У атакующих находятся данные нескольких сотен конечных пользователей и, что самое главное, ключи доступа к различным сервисам — почте, офисным приложениям и пр. Эти ключи могут годами быть активными, и даже смена пароля не может отнять доступ у их владельца. Компания утверждает, что работает со всеми партнерами по отзыву всех ключей доступа к данным пользователей.

Для рядовых веб-проектов такая массовая утечка будет означать новые волны атак типа credential stuffing, при которых хакеры массово пробуют известные украденные логины и пароли на предмет доступа к другим ресурсам, в частности к банкам и интернет-магазинам. Такие атаки являются очень эффективными и успешными вследствие использования пользователями одних и тех же паролей на разных интернет-сервисах.

Интересно, что это первый случай взлома подобного рода проектов и такого масштаба. Ранее внимание экспертов часто привлекал только сам протокол аутентификации OAuth, в котором обнаруживалось множество недочетов. Но все это не идет в сравнение с масштабом утечки данных в случае взлома самого сервиса сторонней аутентификации. Эксперты предсказывают массовый переход компаний от сервисов сторонней аутентификации в пользу локальных внедрений таких систем. Данный инцидент открывает новую страницу в истории массовых взломов, и, вероятно, можно ожидать новые успешные атаки хакеров на другие сервисы аутентификации — очень уж вкусной оказывается их добыча.

Рассылка:

Наименование издания: forbes.ru

Cетевое издание «forbes.ru» зарегистрировано Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций, регистрационный номер и дата принятия решения о регистрации: серия Эл № ФС77-82431 от 23 декабря 2021 г.

Адрес редакции, издателя: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Адрес редакции: 123022, г. Москва, ул. Звенигородская 2-я, д. 13, стр. 15, эт. 4, пом. X, ком. 1

Главный редактор: Мазурин Николай Дмитриевич

Адрес электронной почты редакции: press-release@forbes.ru

Номер телефона редакции: +7 (495) 565-32-06
Перепечатка материалов и использование их в любой форме, в том числе и в электронных СМИ, возможны только с письменного разрешения редакции. Товарный знак Forbes является исключительной собственностью Forbes Media Asia Pte. Limited. Все права защищены.
AO «АС Рус Медиа» · 2023
16+