Account Takeover (ATO) monitoring

Account Takeover (ATO)

Az Account Takeover (ATO) a Szervezethez kapcsolódó, a Szervezet felhasználói által igénybe vett belső és/vagy külső szolgáltatások hozzáféréseinek kompromittálódását jelenti.

Az ATO incidens során egy vagy több, külső vagy belső rendszerhez hozzáférő felhasználó bejelentkezési azonosítója és jelszava illetéktelen kézbe jut, bizalmassága súlyosan sérül.

Több, mint 8000 breach-forrás, 8 milliárd kiszivárgott hozzáférési adatok

Az Account Takeover lehetséges kockázatai

„Password reuse” kockázat

Account Takeover esetén a kiszivárgott hozzáférés segítségével illetéktelen személyek is hozzáférhetnek az adott szolgáltatáshoz vagy rendszerhez.

Az eseményből más incidensek is következhetnek, mivel jellemzően a felhasználók jellemzően azonos vagy csak nagyon kismértékben eltérő jelszavakat használnak az egyes szolgáltatásokhoz, tehát ha egy hozzáférés kompromittálódik, lehetséges, hogy más szolgáltatásokba is be tud jelentkezni az illetéktelen személy. Sok esetben a nyilvános szolgáltatások feltöréséről csak hosszú hónapokkal később jelenik meg nyilvános információ, a publikálásig eltelő időszakban azonban a megszerzett felhasználói azonosítók és jelszavak a feketepiaci adásvételek egyik legfontosabb árucikke.

„Impersonation” kockázat

A felhasználó külső hozzáférésének kompromittálódása lehetőséget ad a támadóknak a felhasználót megszemélyesíteni. A kompromittált külső szolgáltatásba bejelentkezve a támadó további külső rendszereket érhet el (pl. GMail, másodlagos „backup” hozzáférés, ellenőrző kódok, stb.). A külső szolgáltatáson keresztül megszemélyesített felhasználó nevében elkövetett cselekedetek a Szervezetre is visszahatnak.

„API/persistent token” kockázat

Sok esetben a kompromittálódott szolgáltatásban (ha értesítést kap a felhasználó) a felhasználó megváltoztatja a jelszavát, azonban, ha a támadó egy megszerzett hozzáféréssel korábban már legalább egyszer be tudott jelentkezni, hozzáférhet olyan állandó tokenekhez vagy API-kulcsokhoz, amelyekkel más szolgáltatásokhoz is hozzáfér (OneDrive API, Dropbox APi, stb.).

Külön kiemelendő, hogy ha a felhasználó meg is változtatja az adott szolgáltatásban a jelszavát, a csere nem érinti az API kulcsokat vagy tokeneket, azok nem változnak meg, tehát a támadó továbbra is használni tudja őket és hozzáfér az adott szolgáltatáshoz a felhasználó nevében (vagy akár más szolgáltatásokhoz és rendszerekhez).

„Brand abuse” kockázat

Mivel a felhasználó az adott szolgáltatásba a Szervezethez tartozó címével jelentkezik be, a kompromittált hozzáférés következménye olyan visszaélés is lehet, ahol a megszemélyesített felhasználó és a felhasználón keresztül a Szervezet nevében elkövetett cselekmény súlyosan kihat a Szervezet nevére, imidzsére, brandjére.

„Reputation loss” kockázat

Szintén nem információ- vagy IT biztonsággal kapcsolatos, de a Szervezet számára kockázatot jelentő tényező, ha az ATO eseményről, vagy korábban bekövetkezett ATO eseményekről és azok adatairól nyilvános információk jelennek meg, és a Szervezet nem tud megfelelően reagálni az eseményre.

A reagálás ilyen esetekben megvalósítható, ha a Szervezet fel tudja mutatni a bizonyítékokat (riportok, értesítések, riasztások, stb.) arról, hogy megfelelően fókuszált a területre, és a megjelent adatokkal már tisztában volt, azok kockázatát a megfelelő módon csillapította.

PII, GDPR kockázat

Mivel a kiszivárgott hozzáférések csak és kizárólag személyes adatokat tartalmaznak (IP címek, email címek, jelszavak, születési dátumok, preferenciák, lakóhely, címek) együttesen mindenféleképp a GDPR hatóköre alá esnek.

Ha a szivárgás nem is a Szervezet rendszeréből történt, az adatok mindenképpen a Szervezethez tartoznak, a felelősségben a Szervezet is érintetté válhat és GDPR incidenst kell rögzítenie.

Külön problémát jelentenek az olyan publikálódott breach listák, ahol csak az email cím/account és jelszó szerepel, és magát a forrást nem lehet visszaazonosítani. Ilyen esetekben a Szervezetre hárul annak bizonyítási terhe, hogy nem az ő rendszeréből történt a szivárgás.