През последната година се наблюдава продължителна кампания за кражба на данни от корпоративни Salesforce среди, която е свързана с хакерската група ShinyHunters. За разлика от традиционните атаки, при които се използват уязвимости в софтуера, в този случай нападателите са се възползвали от вече съществуващото доверие между Salesforce и свързаните приложения и трети страни, използвайки OAuth протокола за достъп.
Какво се случи?
Според разследванията, хакерите не са експлоатирали технически пропуски в самата платформа Salesforce. Вместо това, те са прониквали в системите чрез OAuth връзки, които позволяват на външни приложения и доставчици на услуги да имат достъп до данни и функционалности в Salesforce. Тези връзки са били установени от организациите като част от интеграционните процеси, но са се оказали уязвими за злоупотреба.
Това означава, че нападателите са използвали легитимни методи за достъп, които са били одобрени от организациите, но са били манипулирани или компрометирани, за да извлекат чувствителна информация. По този начин кражбата на данни е протекла незабелязано в продължение на месеци.
Защо това е важно?
Този случай подчертава ключовата роля на управлението на достъпа и контрола върху интеграциите с външни приложения в корпоративните информационни системи. Дори най-сигурните платформи могат да бъдат компрометирани, ако доверието в свързаните приложения не е внимателно контролирано и проверявано.
OAuth протоколът е широко използван за улесняване на достъпа и интеграцията между различни системи, но също така може да бъде използван за неоторизиран достъп, ако не се прилагат стриктни политики за сигурност. Затова компаниите трябва да обръщат внимание на това кои приложения имат достъп до техните данни и как се управляват тези връзки.
По-широк контекст
Групата ShinyHunters е известна с това, че се занимава с кражба и изнудване чрез откраднати данни. Техните методи се развиват и адаптират към новите технологии и платформи, което ги прави особено опасни за бизнеса. Този случай с Salesforce показва, че дори големи и утвърдени платформи не са имунизирани срещу сложни и дългосрочни атаки, които използват човешкия фактор и доверието в системите.
В същото време, този инцидент подчертава необходимостта от по-голяма прозрачност и мониторинг на достъпа, както и от прилагането на принципа на най-малко привилегии при управлението на права и разрешения.
Какво може да последва?
Очаква се компаниите, използващи Salesforce и други подобни платформи, да засилят контрола върху OAuth интеграциите и да въведат по-строги политики за одит и мониторинг на достъпа. Това може да включва регулярни прегледи на свързаните приложения, ограничаване на правата до необходимия минимум и използване на допълнителни механизми за автентикация и проверка.
От своя страна, доставчиците на платформи като Salesforce вероятно ще подобрят инструментите си за управление на достъпа и ще предоставят по-добри възможности за откриване на аномалии и потенциални злоупотреби. Това ще бъде от полза не само за сигурността на клиентите, но и за цялата екосистема на корпоративните приложения.
В заключение, този случай служи като предупреждение за всички организации да не подценяват рисковете, свързани с интеграциите и доверието в трети страни, и да инвестират в комплексни решения за защита на своите данни и системи.