SSO: Kapu minden vállalati rendszerhez
Az SSO – legyen az Okta, Microsoft Entra vagy Google – lehetővé teszi, hogy a vállalatok egyetlen hitelesítési csatornán keresztül kapcsolják össze a harmadik féltől származó alkalmazásaikat. Egyetlen jelszóval elérhető a felhő, a belső eszközök és az üzleti platformok teljes tárháza. Itt jön a probléma: ha a támadók megszerzik egy felhasználó SSO-fiókját, az szinte minden vállalati rendszerhez és adatbázishoz hozzáférést biztosít: Salesforce, Microsoft 365, Google Workspace, Dropbox, SAP, Slack, Zendesk, Atlassian – a lista szinte végtelen.
Ráadásul minden percben adatot aratnak
A támadók telefonon hívogatják az alkalmazottakat, és a beszélgetés alatt élőben irányítják őket az adathalászoldalakon, ahol még az MFA-lépéseket is a saját kezükre fordítják. Dinamikus webes vezérlőpultjuk segítségével valós időben módosítják a látható felületet, hogy a gyanútlan dolgozót végigvezessék az összetett bejelentkezésen – eközben kinyerik az összes szükséges hozzáférési adatot. Miután beléptek, a támadók átböngészik a csatlakoztatott alkalmazások listáját, és elkezdik letölteni az értékes vállalati adatokat. A legújabb támadások célba vett cégeit zsaroló üzenettel is felkeresték, hogy nyilvánvaló legyen: ezért a ShinyHunters felel.
A nagy platformok – és a következmények
Az Okta hivatalosan nem kommentálta az ügyet, de jelentést adott ki, amely részletezi az adathalászkészleteket és azok működését. A Microsoft és a Google is óvatosan nyilatkozott: egyik szerint sincs bizonyíték arra, hogy a saját rendszereik sérültek volna. A ShinyHunters fő célpontja jelenleg a Salesforce, de valójában minden SSO-t használó nagyvállalat veszélyben van. A banda a korábbi adatszivárgásokból szerzett neveket, telefonszámokat és beosztásokat is beveti a meggyőzőbb támadásokhoz.
Újabb vállalatok kerültek célkeresztbe
A banda Toron keresztül frissített adatlopási oldalt indított, ahol már a SoundCloud, a Betterment és a Crunchbase is felbukkant áldozatként. Decemberben a SoundCloud, nemrég pedig a Betterment ismerte el a hackertámadást, utóbbinál például kriptovalutás csalásokat küldtek a feltört e-mailplatformról, és onnan is loptak adatokat. A Crunchbase nem hallgatta el: valóban feltörték a belső hálózatát, de az incidens nem zavarta meg az üzletmenetet. Azonnal kibervédelmi szakértőket vontak be, és együttműködnek a hatóságokkal.
Az adatok védelme ma fontosabb, mint valaha — a ShinyHunters új hulláma arra figyelmeztet, hogy az SSO-k kompromittálása gyakorlatilag kulcsot jelenthet a teljes vállalati infrastruktúrához.
