Атаки через легитимные учетные данные стали основным оружием против крупных ритейлеров, обходя традиционную защиту от вредоносных программ и уязвимостей нулевого дня. Злоумышленники эксплуатируют избыточные привилегии, неконтролируемые сервисные аккаунты, доверие к поставщикам, слабую гигиену идентификации и социальную инженерию. Эти атаки часто не оставляют следов вредоносов, сливаясь с обычной активностью, что затрудняет их обнаружение. Идентификаторы SaaS, как человеческие, так и нечеловеческие, формируют критическую и часто невидимую поверхность атаки.
Атака на Adidas произошла через доверие к третьей стороне. Злоумышленники скомпрометировали третьего поставщика услуг по обслуживанию клиентов, получив доступ к именам, адресам электронной почты и деталям заказов покупателей. Вредоносные программы не использовались, напрямую системы Adidas не взламывались. Уязвимость SaaS заключалась в токенах или сервисных аккаунтах поставщика без MFA, которые не истекали и оставались активными после окончания необходимости (
The North Face стала жертвой атаки набивки учетных данных (MITRE T1110.004). Используя утекшие логины и пароли, злоумышленники получили доступ к клиентским аккаунтам без вредоносных программ или фишинга. Коренная причина — слабая гигиена идентификации (отсутствие MFA) и повторное использование паролей. Результатом стала утечка персональных данных. Это уже четвертый подобный инцидент с учетными данными у The North Face с 2020 года. Уязвимость SaaS: входы без MFA — легкая мишень; валидные учетные данные дают прямой и незаметный доступ. Безопасность требует MFA, особенно для сервисных аккаунтов и привилегированных ролей, где оно часто отсутствует.
Marks & Spencer (M&S) и Co-op подверглись атаке группы Scattered Spider через заимствованное доверие. Методы включали SIM-свопинг и социальную инженерию. Злоумышленники, выдавая себя за сотрудников, обманывали службы поддержки IT, заставляя сбросить пароли и MFA, эффективно обходя MFA. После этого они перемещались внутри систем, используя избыточные привилегии SaaS-ролей или неактивные сервисные аккаунты, маскируясь под легитимную активность (T1078 – Валидные учетные записи). Имперсонализация службы поддержки обеспечивала устойчивость (T1556.003 – Изменение процесса аутентификации: DLL-фильтр паролей). Снижение риска требует отслеживания поведения идентификаторов SaaS, ограничения привилегий поддержки и целевого обучения сотрудников.
Инцидент в Victoria's Secret нарушил работу онлайн-торговли и систем в магазинах, задержав публикацию финансовых отчетов. Предполагаемый метод — компрометация избыточно привилегированных ролей SaaS-администраторов или устаревших токенов, имевших доступ к системам управления розничными операциями. Скомпрометированные идентификаторы SaaS (T1078.004 – Облачные учетные записи) могут напрямую разрушать ключевые процессы (T1485 – Уничтожение данных) внутри SaaS-приложений, минуя конечные устройства. Избыточные привилегии SaaS-ролей часто забываются, требуя строгого контроля доступа и постоянного мониторинга.
У Cartier и Dior злоумышленники получили данные клиентов через сторонние платформы, используемые для CRM или обслуживания клиентов. Взлома инфраструктуры не было — брешь возникла в сервисных платформах. Уязвимость SaaS: такие платформы используют долгоживущие токены и API-ключи (нечеловеческие идентификаторы – T1550.003 – Использование альтернативного материала аутентификации: Pass the Token). Они редко обновляются, часто не попадают в централизованное управление идентификацией (IAM) и становятся легкой мишенью для кражи данных. Любая SaaS-платформа, обрабатывающая данные клиентов, — часть поверхности атаки; необходимо контролировать доступ машинных идентификаторов.
Идентификаторы SaaS не невидимы — они просто не контролируются. Утечки происходят из-за неоправданного доверия, повторного использования учетных данных, неконтролируемых интеграций или неревизованных аккаунтов. Пока защита сосредоточена на конечных точках и входах, скрытые роли SaaS, неактивные токены и неучтенные привилегии служб поддержки остаются критическими пробелами. Платформа Wing Security обеспечивает многоуровневую защиту SaaS-стека, обнаруживая слепые зоны, укрепляя конфигурации и выявляя угрозы идентификации SaaS до эскалации. Она создает единую точку истины по приложениям, идентификаторам и рискам. Ресурс 'SaaS Identity Security Guide' содержит детальные рекомендации.
Изображение носит иллюстративный характер
Атака на Adidas произошла через доверие к третьей стороне. Злоумышленники скомпрометировали третьего поставщика услуг по обслуживанию клиентов, получив доступ к именам, адресам электронной почты и деталям заказов покупателей. Вредоносные программы не использовались, напрямую системы Adidas не взламывались. Уязвимость SaaS заключалась в токенах или сервисных аккаунтах поставщика без MFA, которые не истекали и оставались активными после окончания необходимости (
тихие точки входа). Это соответствует Тактике MITRE T1195.002 (Компрометация цепочки поставок). Ключевой вывод: необходимо защищать оставленный доступ поставщиков; интеграции SaaS живут дольше контрактов. The North Face стала жертвой атаки набивки учетных данных (MITRE T1110.004). Используя утекшие логины и пароли, злоумышленники получили доступ к клиентским аккаунтам без вредоносных программ или фишинга. Коренная причина — слабая гигиена идентификации (отсутствие MFA) и повторное использование паролей. Результатом стала утечка персональных данных. Это уже четвертый подобный инцидент с учетными данными у The North Face с 2020 года. Уязвимость SaaS: входы без MFA — легкая мишень; валидные учетные данные дают прямой и незаметный доступ. Безопасность требует MFA, особенно для сервисных аккаунтов и привилегированных ролей, где оно часто отсутствует.
Marks & Spencer (M&S) и Co-op подверглись атаке группы Scattered Spider через заимствованное доверие. Методы включали SIM-свопинг и социальную инженерию. Злоумышленники, выдавая себя за сотрудников, обманывали службы поддержки IT, заставляя сбросить пароли и MFA, эффективно обходя MFA. После этого они перемещались внутри систем, используя избыточные привилегии SaaS-ролей или неактивные сервисные аккаунты, маскируясь под легитимную активность (T1078 – Валидные учетные записи). Имперсонализация службы поддержки обеспечивала устойчивость (T1556.003 – Изменение процесса аутентификации: DLL-фильтр паролей). Снижение риска требует отслеживания поведения идентификаторов SaaS, ограничения привилегий поддержки и целевого обучения сотрудников.
Инцидент в Victoria's Secret нарушил работу онлайн-торговли и систем в магазинах, задержав публикацию финансовых отчетов. Предполагаемый метод — компрометация избыточно привилегированных ролей SaaS-администраторов или устаревших токенов, имевших доступ к системам управления розничными операциями. Скомпрометированные идентификаторы SaaS (T1078.004 – Облачные учетные записи) могут напрямую разрушать ключевые процессы (T1485 – Уничтожение данных) внутри SaaS-приложений, минуя конечные устройства. Избыточные привилегии SaaS-ролей часто забываются, требуя строгого контроля доступа и постоянного мониторинга.
У Cartier и Dior злоумышленники получили данные клиентов через сторонние платформы, используемые для CRM или обслуживания клиентов. Взлома инфраструктуры не было — брешь возникла в сервисных платформах. Уязвимость SaaS: такие платформы используют долгоживущие токены и API-ключи (нечеловеческие идентификаторы – T1550.003 – Использование альтернативного материала аутентификации: Pass the Token). Они редко обновляются, часто не попадают в централизованное управление идентификацией (IAM) и становятся легкой мишенью для кражи данных. Любая SaaS-платформа, обрабатывающая данные клиентов, — часть поверхности атаки; необходимо контролировать доступ машинных идентификаторов.
Идентификаторы SaaS не невидимы — они просто не контролируются. Утечки происходят из-за неоправданного доверия, повторного использования учетных данных, неконтролируемых интеграций или неревизованных аккаунтов. Пока защита сосредоточена на конечных точках и входах, скрытые роли SaaS, неактивные токены и неучтенные привилегии служб поддержки остаются критическими пробелами. Платформа Wing Security обеспечивает многоуровневую защиту SaaS-стека, обнаруживая слепые зоны, укрепляя конфигурации и выявляя угрозы идентификации SaaS до эскалации. Она создает единую точку истины по приложениям, идентификаторам и рискам. Ресурс 'SaaS Identity Security Guide' содержит детальные рекомендации.
