Account Takeover (ATO) monitoring
Account Takeover (ATO)
Az Account Takeover (ATO) a Szervezethez kapcsolódó, a Szervezet felhasználói által igénybe vett belső és/vagy külső szolgáltatások hozzáféréseinek kompromittálódását jelenti.
Az ATO incidens során egy vagy több, külső vagy belső rendszerhez hozzáférő felhasználó bejelentkezési azonosítója és jelszava illetéktelen kézbe jut, bizalmassága súlyosan sérül.

Az Account Takeover lehetséges kockázatai
„Password reuse” kockázat
Account Takeover esetén a kiszivárgott hozzáférés segítségével illetéktelen személyek is hozzáférhetnek az adott szolgáltatáshoz vagy rendszerhez.
Az eseményből más incidensek is következhetnek, mivel jellemzően a felhasználók jellemzően azonos vagy csak nagyon kismértékben eltérő jelszavakat használnak az egyes szolgáltatásokhoz, tehát ha egy hozzáférés kompromittálódik, lehetséges, hogy más szolgáltatásokba is be tud jelentkezni az illetéktelen személy. Sok esetben a nyilvános szolgáltatások feltöréséről csak hosszú hónapokkal később jelenik meg nyilvános információ, a publikálásig eltelő időszakban azonban a megszerzett felhasználói azonosítók és jelszavak a feketepiaci adásvételek egyik legfontosabb árucikke.
„Impersonation” kockázat
A felhasználó külső hozzáférésének kompromittálódása lehetőséget ad a támadóknak a felhasználót megszemélyesíteni. A kompromittált külső szolgáltatásba bejelentkezve a támadó további külső rendszereket érhet el (pl. GMail, másodlagos „backup” hozzáférés, ellenőrző kódok, stb.). A külső szolgáltatáson keresztül megszemélyesített felhasználó nevében elkövetett cselekedetek a Szervezetre is visszahatnak.
„API/persistent token” kockázat
Sok esetben a kompromittálódott szolgáltatásban (ha értesítést kap a felhasználó) a felhasználó megváltoztatja a jelszavát, azonban, ha a támadó egy megszerzett hozzáféréssel korábban már legalább egyszer be tudott jelentkezni, hozzáférhet olyan állandó tokenekhez vagy API-kulcsokhoz, amelyekkel más szolgáltatásokhoz is hozzáfér (OneDrive API, Dropbox APi, stb.).
Külön kiemelendő, hogy ha a felhasználó meg is változtatja az adott szolgáltatásban a jelszavát, a csere nem érinti az API kulcsokat vagy tokeneket, azok nem változnak meg, tehát a támadó továbbra is használni tudja őket és hozzáfér az adott szolgáltatáshoz a felhasználó nevében (vagy akár más szolgáltatásokhoz és rendszerekhez).
„Brand abuse” kockázat
Mivel a felhasználó az adott szolgáltatásba a Szervezethez tartozó címével jelentkezik be, a kompromittált hozzáférés következménye olyan visszaélés is lehet, ahol a megszemélyesített felhasználó és a felhasználón keresztül a Szervezet nevében elkövetett cselekmény súlyosan kihat a Szervezet nevére, imidzsére, brandjére.
„Reputation loss” kockázat
Szintén nem információ- vagy IT biztonsággal kapcsolatos, de a Szervezet számára kockázatot jelentő tényező, ha az ATO eseményről, vagy korábban bekövetkezett ATO eseményekről és azok adatairól nyilvános információk jelennek meg, és a Szervezet nem tud megfelelően reagálni az eseményre.
A reagálás ilyen esetekben megvalósítható, ha a Szervezet fel tudja mutatni a bizonyítékokat (riportok, értesítések, riasztások, stb.) arról, hogy megfelelően fókuszált a területre, és a megjelent adatokkal már tisztában volt, azok kockázatát a megfelelő módon csillapította.
PII, GDPR kockázat
Mivel a kiszivárgott hozzáférések csak és kizárólag személyes adatokat tartalmaznak (IP címek, email címek, jelszavak, születési dátumok, preferenciák, lakóhely, címek) együttesen mindenféleképp a GDPR hatóköre alá esnek.
Ha a szivárgás nem is a Szervezet rendszeréből történt, az adatok mindenképpen a Szervezethez tartoznak, a felelősségben a Szervezet is érintetté válhat és GDPR incidenst kell rögzítenie.
Külön problémát jelentenek az olyan publikálódott breach listák, ahol csak az email cím/account és jelszó szerepel, és magát a forrást nem lehet visszaazonosítani. Ilyen esetekben a Szervezetre hárul annak bizonyítási terhe, hogy nem az ő rendszeréből történt a szivárgás.



Miben segíthetünk?
Az ATO incidensek bekövetkezte olyan tényező, amellyel a Szervezetnek számolnia kell, mivel egy ilyen esemény jelentős vagyoni és nem vagyoni károkat okozhat.
ATO vizsgálat – kompromittált felhasználói adatok feltárása
Megvizsgáljuk a Megbízó szervezetet (OSINT és speciális ATO védelmi eszköz segítségével) és megállapítjuk, milyen forrásokból és mennyi, a szervezethez tartozó adatrekord lelhető fel.
Elemezzük és kiértékeljük a gyűjtött adatokat, majd a letisztított és elemzett adatokat és az azokból készült riportot adjuk át a Megbízónak./
Folyamatos ATO védelem - monitoring és riasztás
Az általunk használt ATO védelmi eszköz nem csak keresésekre, de védelemre is alkalmas.

A szolgáltatásra előfizető ügyfelek riasztást kapnak, ha a rendszerben olyan rekord bukkan fel, amely az ő szervezetükhöz tartozik (ATO prevention), ha egy felhasználó külső vagy belső hozzáférése kompromittálódik.