Ключевые выводы
- Группа ShinyHunters получила токены доступа к облачным хранилищам через взлом Anodot и украла данные минимум у 12 компаний.
- Среди пострадавших – Snowflake (провайдер облачных данных) и Rockstar Games, разработчик GTA.
- Хакеры угрожают обнародованием данных, если не выполнены требования выкупа.
- Инцидент подчёркивает риск цепочечных атак через SaaS‑интеграторы и необходимость строгой проверки токенов.
- Рекомендации: ограничить привилегии токенов, внедрить мониторинг аномальной активности и регулярно менять ключи доступа.
В апреле 2024 года один из самых больших скандалов в сфере облачной безопасности вспыхнул из‑за уязвимости в системе мониторинга Anodot. Хакеры украли токены доступа, прошли в облачные хранилища и вынесли огромные объёмы данных у десятков компаний. Что именно случилось, какие компании оказались в эпицентре и как теперь защитить свои сервисы – читайте дальше.
Что произошло: хроника взлома Anodot
4 апреля 2024 г. сотрудники Anodot заметили, что их data connectors перестали работать. В результате клиенты временно потеряли доступ к данным, хранящимся в облаке. По‑позднее выяснилось, что в этот же день злоумышленники получили доступ к authentication tokens – специальным ключам, которыми клиенты аутентифицируются в своих облачных хранилищах.
С помощью украденных токенов хакеры «прокрались» в несколько облачных сервисов, включая Snowflake, и скачали огромные объёмы клиентских данных. По оценкам экспертов, в результате было скомпрометировано минимум 12 компаний.
Одним из первых сообщений об атаке стали публикации Bleeping Computer и BBC News, где указывалось, что группа ShinyHunters уже требует выкуп, угрожая обнародовать полученные файлы.
Компания‑владелец Anodot – Glassbox – пока не дала официальных комментариев, а Snowflake отказался от комментариев по запросам прессы.
Кто стоит за атакой: группа ShinyHunters
ShinyHunters – англоязычная хакерская группировка, известная своей способностью выманивать учетные данные через социальную инженерию. Часто они маскируются под сотрудников IT‑поддержки, заставляя сотрудников крупных фирм раскрывать пароли и токены.
За последние 12 мес. их цель – SaaS‑продукты, которые позволяют клиентам работать с большими объёмами данных в облаке: Anodot, Gainsight и Salesloft. В каждом случае хакеры получали токены доступа и использовали их для масштабных краж.
Методика ShinyHunters проста, но эффективна: украсть токен – и у вас есть «ключ» к данным любой компании, использующей этот SaaS‑интегратор.
После получения доступа они либо продают данные на даркнет, либо требуют выкуп, угрожая публичным раскрытием.
Пострадавшие компании: от облачных провайдеров до видеоигр
Помимо Snowflake, в списке жертв оказался известный разработчик игр – Rockstar Games. Компания подтвердила факт доступа к «ограниченному объёму некритичной информации», но заявила, что инцидент не повлиял на работу сервисов или игроков.
Rockstar уже пережила похожую кибератаку в 2022 г., когда злоумышленники выкладывали ранний трейлер GTA VI. Этот факт усиливает опасения, что данные о будущих проектах могут снова стать «игральной карточкой» у хакеров.
Другие компании, чьи данные могли быть украдены, включают крупные финансовые и технологические фирмы, использующие Anodot для мониторинга бизнес‑операций. Точный список пока не раскрыт из‑за рисков дальнейшего распространения.
Snowflake после обнаружения «необычной активности» временно отключила доступ к облачным хранилищам клиентов Anodot, чтобы ограничить масштаб утечки.
Почему токены доступа стали «золотой монетой» для хакеров
Токен – это цифровой ключ, который позволяет приложению взаимодействовать с облачным сервисом без ввода пароля каждый раз. Если токен попадает в чужие руки, злоумышленник получает тот же уровень прав, что и легитимный пользователь.
В случае с Anodot токены давали прямой доступ к хранилищам Snowflake, где хранятся таблицы с бизнес‑данными, аналитикой и иногда даже пользовательскими файлами.
Проблема в том, что многие организации используют токены «вечного действия» – они не истекают автоматически и меняются только при явном запросе. Это делает их привлекательной целью.
Кроме того, отсутствие детального мониторинга аномальной активности в облаке позволяет злоумышленникам скачивать данные в течение нескольких дней, прежде чем система выдаст тревогу.
Как ограничить риски: практические рекомендации
1. Ограничьте привилегии токенов. Выдавайте токены только с теми правами, которые действительно нужны (principle of least privilege).
2. Внедрите автоматический ротационный механизм. Токены должны автоматически обновляться каждые 30‑90 дней.
3. Мониторьте аномальную активность. Настройте оповещения о скачивании больших объёмов данных или запросах из нетипичных IP‑адресов.
4. Используйте MFA для доступа к SaaS‑интеграторам. Даже если токен украдён, без второго фактора вход будет осложнён.
5. Проводите аудит прав доступа. Регулярно проверяйте, какие пользователи и сервисы имеют доступ к критическим ресурсам.
Что дальше: прогнозы и последствия
Эксперты считают, что цепочечные атаки через SaaS‑продукты будут только расти. Хакеры уже понимают, что взлом одного интегратора может открыть двери к десяткам компаний.
Для бизнеса это сигнал пересмотреть политику управления ключами и токенами, а не только сосредотачиваться на традиционной защите паролей.
Если ваш сервис использует сторонние интеграторы – проверьте их уровень безопасности, запросите отчёты по инцидентам и убедитесь, что они применяют лучшие практики управления доступом.
В конечном итоге, безопасность облака – это совместная ответственность всех участников экосистемы.
Справка
Anodot – компания, основанная в 2015 г., специализируется на автоматическом мониторинге бизнес‑операций и предиктивной аналитике. Продукт позволяет клиентам в реальном времени отслеживать метрики, выявлять аномалии и предотвращать потери дохода.
Glassbox – материнская компания Anodot, фокусируется на цифровом опыте пользователей, предоставляя решения для анализа поведения в онлайн‑сервисах.
Snowflake – облачная платформа данных, запущенная в 2014 г., известна своей масштабируемостью и гибкой моделью ценообразования. Предоставляет клиентам хранилище, обработку и аналитику больших объёмов данных.
Rockstar Games – дочерняя компания Take‑Two Interactive, основана в 1998 г. Знаменита серией игр Grand Theft Auto. Помимо GTA, компания создала такие хиты, как Red Dead Redemption.
ShinyHunters – международная хакерская группировка, действующая с 2019 года, известна кражей токенов доступа и вымогательством. Их методы включают фишинг, социальную инженерию и использование уязвимостей в SaaS‑продуктах.
Итак, утечка через Anodot показала, как один «плохой» токен может поставить под угрозу десятки компаний. Проверка прав доступа, автоматическая ротация ключей и постоянный мониторинг – простые шаги, которые могут спасать бизнес от подобных атак. Не откладывайте безопасность на потом – начните действовать уже сегодня.
