Неизвестный хакер воспользовался уязвимостью в системе сервиса сквозной аутентификации OneLogin и просматривал конфиденциальные записи пользователей, считавшиеся надежно защищенными. Разработчик технологии единого входа для облачных приложений уже начал оповещать пользователей об инциденте по электронной почте, а в минувший вторник подтвердил печальную новость в своем блоге.

Скомпрометированная хакером функция Secure Notes позволяет подписчикам сохранять информацию, которая обычно шифруется с использованием «множества уровней AES-256». Оператор OneLogin рекомендует использовать эту службу для надежного хранения таких данных, как лицензионные ключи и пароли к брандмауэрам. Брешь в системе, которую компания использует для хранения и анализа журналов, ставит под сомнение надежность данного сервиса.

По словам директора OneLogin по ИБ Альваро Ойоса (Alvaro Hoyos), из-за бага все недавние записи как минимум месяц сохранялись в открытом виде; в частности, записи, сделанные между 25 июля и 25 августа, до шифрования были видны в системе ведения журнала регистрации. Проблему усугубил не связанный с багом инцидент: атакующему удалось скомпрометировать пароль одного из служащих компании и получить доступ к системе протоколирования, в которой сохранялись записи пользователей.

Специалисты компании пропатчили код, заблокировали доступ к управлению журналами регистрации, добавили фильтры в предотвращение поиска более ранних записей и приступили к оценке последствий. Тогда и был выявлен взлом аккаунта. «В ходе расследования мы обнаружили подозрительные запросы под конкретным именем пользователя, — рассказывает Ойос журналистам Threatpost. — Откат по времени выявил всю картину: ряд запросов исходил с потенциально вредоносных IP-адресов, некоторые — даже из другой временной зоны».

Эксперт также отметил, что автор атаки мог получить доступ еще 2 июля и, вероятно, прочел также записи, сделанные пользователями в период со 2 июня по 24 июля. Компания обновляет логи каждые 30 дней, и с определенностью можно утверждать, что хакер видел записи, датированные с 25 июля по 25 августа. Тем не менее, просматривая логи за предыдущий месяц, работники ИБ-службы обнаружили, что хакер также входил в систему в июне.

Число пострадавших в блог-записи компании не уточняется, там лишь подчеркнуто, что киберинцидент затронул небольшую часть 12-миллионной аудитории OneLogin. В блоге также отмечено, что уязвимость была пропатчена в день ее обнаружения. Во внешних системах, не поддерживающих SAML (использующий XML стандарт обмена данными аутентификации при работе через браузер), сброшены пароли. Комментируя инцидент, Ойос добавил, что отныне доступ к системе протоколирования будет разрешен лишь через аутентификацию на основе SAML и для ограниченной группы IP-адресов.

«Как правило, для аутентификации этого приложения используется SAML, однако, когда мы начали выяснять, каким образом осуществлялось проникновение, оказалось, что автор атаки использовал тривиальную аутентификацию на основе форм, — сокрушается собеседник Threatpost. — Эту возможность мы явно проворонили, если можно так выразиться».

По свидетельству Ойоса, внутреннее расследование еще не закончено, его ход будет и впредь отражаться в блоге компании.

Категории: Уязвимости, Хакеры