Взлом OneLogin: хакеры получили доступ к данным пользователей Amazon

Сегодня ночью сервис авторизации OneLogin разослал клиентам и партерам сообщение о взломе, а также опубликовал в своем блоге сообщение об инциденте. OneLogin — это облачный сервис для аутентификации пользователей, а также для  управления учетными записями. Как работают подобные сервисы? Они позволяют создателям приложений вместо того, чтобы вести учет пользователей и выполнять их аутентификацию на своей стороне, делегировать эту функцию стороннему сервису. Как мы видим, это делегирование не всегда оказывается безопасным.

Клиентами OneLogin являются более 2000 компаний из 44 стран мира, а партнерами — более 300 производителей приложений и около 70 производителей SaaS-сервисов. OneLogin можно по праву назвать одним из основных игроков рынка.

В официальном сообщении говорится, что хакерам удалось получить доступ к платформе Amazon, на которой размещены все ресурсы компании. Как именно были похищены ключи доступа от Amazon OneLogin —  не раскрывается. Многие эксперты (в том числе и я) предполагают, что имела место некорректная конфигурация инфраструктуры, в результате которой компрометация одного узла неизбежно приводила к компрометации всех ключей доступа и, как следствие, ресурсов. Такое случается, например, из-за небрежной настройки средств централизованного управления пакетами конфигурационными файлами, такими как Ansible, Puppet, Chef.

Примечательно, что компания заявила, что помимо доступа к базам атакующим удалось также получить и доступ к ключам шифрования данных в них. Возникает резонный вопрос: зачем вообще в таком случае компания шифровала данные? Это в очередной раз вскрывает большую и хорошо известную проблему качества внедрения средств защиты информации, которые часто используются лишь формально. Разработчики «для галочки» соблюдают условия и требования, не ставя целью фактическую безопасность.

Оценить масштаб катастрофы, связанной со взломом OneLogin, сложно, но и переоценить его тоже практически невозможно. У атакующих находятся данные нескольких сотен конечных пользователей и, что самое главное, ключи доступа к различным сервисам — почте, офисным приложениям и пр. Эти ключи могут годами быть активными, и даже смена пароля не может отнять доступ у их владельца. Компания утверждает, что работает со всеми партнерами по отзыву всех ключей доступа к данным пользователей.

Для рядовых веб-проектов такая массовая утечка будет означать новые волны атак типа credential stuffing, при которых хакеры массово пробуют известные украденные логины и пароли на предмет доступа к другим ресурсам, в частности к банкам и интернет-магазинам. Такие атаки являются очень эффективными и успешными вследствие использования пользователями одних и тех же паролей на разных интернет-сервисах.

Интересно, что это первый случай взлома подобного рода проектов и такого масштаба. Ранее внимание экспертов часто привлекал только сам протокол аутентификации OAuth, в котором обнаруживалось множество недочетов. Но все это не идет в сравнение с масштабом утечки данных в случае взлома самого сервиса сторонней аутентификации. Эксперты предсказывают массовый переход компаний от сервисов сторонней аутентификации в пользу локальных внедрений таких систем. Данный инцидент открывает новую страницу в истории массовых взломов, и, вероятно, можно ожидать новые успешные атаки хакеров на другие сервисы аутентификации — очень уж вкусной оказывается их добыча.

0

Рекомендуемые материалы

Кристина Алексеева
Три мифа о пути сотрудника, или почему работа с EX — это больше, чем HR

Многие компании стремятся улучшить опыт сотрудников (Employee Experience, EX), но нередко строят его на устаревших мифах. Они представляют путь сотрудника как линейный процесс, возлагают всю ответственность на HR или пытаются внедрить универсальные решения. Однако реальность сложнее: путь каждого сотрудника индивидуален, его формируют не только HR, но и вся организация. Ключ к успеху — гибкость, персонализация и соответствие корпоративных ценностей реальным условиям работы.

Кристина Алексеева, руководитель комплексных трансформационных проектов, фасилитатор, ментор команд, HR-эксперт с опытом работы на топ-позициях в российских и международных компания, разберёт три распространенных мифа об EX и расскажет, почему работа с опытом сотрудников — это стратегическая задача бизнеса.