Хакеры через GitHub получили доступ к данным сотен корпораций и их клиентов
Группа ShinyHunters заявила о своём участии в инциденте с утечкой данных из экосистемы Salesforce. События протекают уже несколько месяцев и затронули сразу несколько сервисов, связанных с CRM-платформами, а масштабы последствий продолжают расти.
Хакеры проникли в GitHub-учётную запись Salesloft и извлекли оттуда OAuth-токены, применявшиеся в работе стороннего сервиса Drift с Salesforce. Эти токены позволили незаметно обращаться к данным большого числа корпоративных клиентов.
Ситуацию прокомментировал эксперт первой российской платформы для работы с кодом, технический директор GitFlic (входит в «Группу Астра») Максим Козлов: «Данный инцидент — это наглядный пример системного кризиса в цепочках поставок программного обеспечения. Проблема не в самом наличии API-интеграций, так как это общепринятый стандарт для любого современного приложения. Проблема в устаревшей парадигме безопасности, которая возлагает чрезмерные надежды на один секрет, раз и навсегда вшитый в код.
К сожалению, полностью исключить такие риски невозможно, но можно и нужно кардинально снижать вероятность и последствия их реализации. Текущая модель единоразовой выдачи токенов исчерпала себя. Вместо разовых рекомендаций по сканированию кода на этапе CI/CD индустрии пора переходить к обязательному внедрению нескольких уровней защиты:
- Токен интеграции не должен быть «ключом от всех дверей». Его права должны быть строго ограничены только тем, что необходимо для работы приложения, и регулярно пересматриваться.
- Срок жизни таких токенов не должен быть бесконечным. Необходимо внедрять системы, которые автоматически обновляют их, минимизируя окно риска, если утечка всё же произошла.
- Технологии вроде HashiCorp Vault или облачных сервисов для управления секретами должны стать таким же стандартом, как и системы контроля версий.
Рекомендаций уже недостаточно. Инциденты, подобные этому, должны стать точкой принятия нового отраслевого стандарта, где безопасность интеграций — это обязательная, встроенная и постоянно развивающаяся функция».
Теги:
похожие материалы
В сети появились сообщения об исключении домена YouTube из DNS Роскомнадзора
Telegram-канал ExploitEx сообщил о признаках усиления ограничений в отношении видеохостинга YouTube в России.
Роскомнадзор начал вводить меры по частичному ограничению работы Telegram в России
Власти приняли решение приступить к поэтапному ограничению работы мессенджера Telegram в России.
Исследователи зафиксировали рост кооперации политически мотивированных хакерских группировок
Центр мониторинга и реагирования на киберугрозы RED Security SOC сообщил о формировании устойчивого тренда на кооперацию политически мотивированных хакерских группировок при атаках на российский бизнес.
Минцифры планирует создать площадку для тестирования ИИ на безопасность
Для систем искусственного интеллекта высокого и критического уровня риска потребуется получать сертификат на соответствие требованиям безопасности Федеральной службы по техническому и экспертному контролю (ФСТЭК) и Федеральной службы безопасности (ФСБ).
«Газинформсервис» подтвердил членство в РОСЭУ и анонсировал создание системы независимого аудита УЦ
Компания «Газинформсервис» подтвердила статус члена Ассоциации РОСЭУ на 2026 год.
BeyondTrust выпустила патч для устранения критической уязвимости
По данным официального бюллетеня безопасности, компания BeyondTrust опубликовала предупреждение о критической уязвимости в продуктах Remote Support и Privileged Remote Access, позволяющей злоумышленнику удалённо выполнить произвольный код без предварительной аутентификации.
Эксперты прогнозируют увеличение объема рынка облачных сервисов до более 1 трлн рублей
Объем российского рынка облачных сервисов к 2030 году достигнет 1,2 трлн рублей при среднегодовых темпах роста в 24,4%, говорится в предварительных оценках компаний РТК-ЦОД и iKS-Consulting.
Эксперты предупреждают о рисках использования бесплатных VPN-сервисов
Специалисты по кибербезопасности предупреждают, что бесплатные VPN-сервисы могут представлять серьезные риски для конфиденциальности и безопасности пользователей.
Облака в одном окне: «Группа Астра» анонсирует Clouden для централизованного управления гибридной инфраструктурой
«Группа Астра» вывела на рынок Clouden — решение для централизованного управления гибридной и мультиоблачной инфраструктурой.
СберКорус и «Актив» выпустили лимитированную партию премиальных ключевых носителей
Оператор электронного документооборота СберКорус совместно с крупнейшим российским производителем и разработчиком программно-аппаратных средств защиты информации.