Сегодня ночью сервис авторизации OneLogin разослал клиентам и партерам сообщение о взломе, а также опубликовал в своем блоге сообщение об инциденте. OneLogin — это облачный сервис для аутентификации пользователей, а также для управления учетными записями. Как работают подобные сервисы? Они позволяют создателям приложений вместо того, чтобы вести учет пользователей и выполнять их аутентификацию на своей стороне, делегировать эту функцию стороннему сервису. Как мы видим, это делегирование не всегда оказывается безопасным.
Клиентами OneLogin являются более 2000 компаний из 44 стран мира, а партнерами — более 300 производителей приложений и около 70 производителей SaaS-сервисов. OneLogin можно по праву назвать одним из основных игроков рынка.
В официальном сообщении говорится, что хакерам удалось получить доступ к платформе Amazon, на которой размещены все ресурсы компании. Как именно были похищены ключи доступа от Amazon OneLogin — не раскрывается. Многие эксперты (в том числе и я) предполагают, что имела место некорректная конфигурация инфраструктуры, в результате которой компрометация одного узла неизбежно приводила к компрометации всех ключей доступа и, как следствие, ресурсов. Такое случается, например, из-за небрежной настройки средств централизованного управления пакетами конфигурационными файлами, такими как Ansible, Puppet, Chef.
Примечательно, что компания заявила, что помимо доступа к базам атакующим удалось также получить и доступ к ключам шифрования данных в них. Возникает резонный вопрос: зачем вообще в таком случае компания шифровала данные? Это в очередной раз вскрывает большую и хорошо известную проблему качества внедрения средств защиты информации, которые часто используются лишь формально. Разработчики «для галочки» соблюдают условия и требования, не ставя целью фактическую безопасность.
Оценить масштаб катастрофы, связанной со взломом OneLogin, сложно, но и переоценить его тоже практически невозможно. У атакующих находятся данные нескольких сотен конечных пользователей и, что самое главное, ключи доступа к различным сервисам — почте, офисным приложениям и пр. Эти ключи могут годами быть активными, и даже смена пароля не может отнять доступ у их владельца. Компания утверждает, что работает со всеми партнерами по отзыву всех ключей доступа к данным пользователей.
Для рядовых веб-проектов такая массовая утечка будет означать новые волны атак типа credential stuffing, при которых хакеры массово пробуют известные украденные логины и пароли на предмет доступа к другим ресурсам, в частности к банкам и интернет-магазинам. Такие атаки являются очень эффективными и успешными вследствие использования пользователями одних и тех же паролей на разных интернет-сервисах.
Интересно, что это первый случай взлома подобного рода проектов и такого масштаба. Ранее внимание экспертов часто привлекал только сам протокол аутентификации OAuth, в котором обнаруживалось множество недочетов. Но все это не идет в сравнение с масштабом утечки данных в случае взлома самого сервиса сторонней аутентификации. Эксперты предсказывают массовый переход компаний от сервисов сторонней аутентификации в пользу локальных внедрений таких систем. Данный инцидент открывает новую страницу в истории массовых взломов, и, вероятно, можно ожидать новые успешные атаки хакеров на другие сервисы аутентификации — очень уж вкусной оказывается их добыча.