Хакеры через GitHub получили доступ к данным сотен корпораций и их клиентов
Киберпреступники проникли в GitHub-учётную запись Salesloft и извлекли оттуда OAuth-токены, которые позволили незаметно обращаться к данным большого числа корпоративных клиентов. ИТ-эксперт Максим Козлов перечислил важные метрики защиты, необходимые для минимизации рисков подобных атак.
Группа ShinyHunters заявила о своём участии в инциденте с утечкой данных из экосистемы Salesforce. События протекают уже несколько месяцев и затронули сразу несколько сервисов, связанных с CRM-платформами, а масштабы последствий продолжают расти.
Хакеры проникли в GitHub-учётную запись Salesloft и извлекли оттуда OAuth-токены, применявшиеся в работе стороннего сервиса Drift с Salesforce. Эти токены позволили незаметно обращаться к данным большого числа корпоративных клиентов.
Ситуацию прокомментировал эксперт первой российской платформы для работы с кодом, технический директор GitFlic (входит в «Группу Астра») Максим Козлов: «Данный инцидент — это наглядный пример системного кризиса в цепочках поставок программного обеспечения. Проблема не в самом наличии API-интеграций, так как это общепринятый стандарт для любого современного приложения. Проблема в устаревшей парадигме безопасности, которая возлагает чрезмерные надежды на один секрет, раз и навсегда вшитый в код.
К сожалению, полностью исключить такие риски невозможно, но можно и нужно кардинально снижать вероятность и последствия их реализации. Текущая модель единоразовой выдачи токенов исчерпала себя. Вместо разовых рекомендаций по сканированию кода на этапе CI/CD индустрии пора переходить к обязательному внедрению нескольких уровней защиты:
- Токен интеграции не должен быть «ключом от всех дверей». Его права должны быть строго ограничены только тем, что необходимо для работы приложения, и регулярно пересматриваться.
- Срок жизни таких токенов не должен быть бесконечным. Необходимо внедрять системы, которые автоматически обновляют их, минимизируя окно риска, если утечка всё же произошла.
- Технологии вроде HashiCorp Vault или облачных сервисов для управления секретами должны стать таким же стандартом, как и системы контроля версий.
Рекомендаций уже недостаточно. Инциденты, подобные этому, должны стать точкой принятия нового отраслевого стандарта, где безопасность интеграций — это обязательная, встроенная и постоянно развивающаяся функция».