Кража токенов стала основным и часто упускаемым из виду вектором атак на облачные сервисы (SaaS). Злоумышленники всё чаще похищают токены доступа, такие как ключи API и OAuth-токены, чтобы обойти традиционные меры безопасности, включая многофакторную аутентификацию (MFA), и получить прямой доступ к корпоративным системам. Проблема усугубляется неконтролируемым ростом числа сторонних приложений в корпоративной среде, что создает скрытую и незащищенную поверхность для атак.
Токены — это цифровые ключи, предоставляющие доступ к SaaS-приложениям. Ключевой риск заключается в том, что украденный токен позволяет киберпреступнику действовать от имени легитимного пользователя или сервиса, полностью игнорируя защиту MFA. Это смещает фокус атак с эксплуатации уязвимостей программного обеспечения на компрометацию аутентификационных данных. К 2025 году, когда большинство компаний будут полностью зависеть от экосистемы SaaS-приложений, эта угроза станет доминирующей.
В январе 2023 года злоумышленники похитили токены сотрудников компании Slack. Используя их, они получили несанкционированный доступ к частным репозиториям кода Slack на платформе GitHub. Хотя данные клиентов не пострадали, инцидент продемонстрировал, как компрометация токенов может разрушить внутренние барьеры безопасности.
В том же месяце, январе 2023 года, компания CircleCI столкнулась с атакой, в ходе которой вредоносное ПО на ноутбуке инженера похитило его сессионные токены. Это позволило злоумышленникам получить тот же уровень доступа, что и у скомпрометированного сотрудника, обойдя MFA, и украсть конфиденциальные данные клиентов непосредственно с CI-платформы. Этот случай доказал, что MFA бессильна против кражи активных сессионных токенов.
В ноябре 2023 года, после взлома провайдера идентификации Okta, компания Cloudflare в рамках реагирования на инцидент сменила около 5000 учетных данных. Однако один-единственный не отозванный токен API и несколько учетных записей сервисов позволили атакующим скомпрометировать среду Atlassian, принадлежащую Cloudflare. Это подчеркивает, что даже одна ошибка в процессе ротации ключей может свести на нет все усилия по защите.
Атака на цепочку поставок, произошедшая в августе 2025 года, затронула чат-бот Drift, принадлежащий компании Salesloft. Злоумышленники смогли похитить OAuth-токены, использовавшиеся для интеграции с такими платформами, как Salesforce и Google Workspace. В результате они получили доступ к SaaS-данным сотен организаций-клиентов, перемещаясь по их системам и получая доступ к электронной почте, файлам и записям службы поддержки.
Первопричиной проблемы является экосистемный сбой, вызванный «SaaS-разрастанием». В среднем крупное предприятие использует около 490 облачных приложений, многие из которых не санкционированы ИТ-отделом. Это создает огромное количество OAuth-токенов, ключей API и межсервисных соединений, которые функционируют как «нечеловеческие личности». Они остаются невидимыми для традиционных систем управления идентификацией, формируя неуправляемую поверхность для атак.
Существующие инструменты безопасности неэффективны против этой угрозы. Системы единого входа (SSO) и MFA защищают процесс входа пользователя, но OAuth-токены предоставляют постоянное доверие между приложениями, обходя эти механизмы. Брокеры безопасного доступа к облаку (CASB) обычно отслеживают трафик «пользователь-приложение», но не контролируют соединения «приложение-приложение», где и используются токены. Неконтролируемые токены OAuth и API стали критической уязвимостью. Для решения этой проблемы разрабатываются динамические платформы безопасности SaaS, способные обнаруживать и защищать все сторонние приложения и их привилегии.
Для снижения рисков необходимо вести полный и актуальный перечень всех OAuth-токенов, ключей API и сторонних интеграций. Это первый шаг к восстановлению видимости и контроля над «ландшафтом токенов». Также следует внедрить формальный процесс проверки и утверждения для всех новых SaaS-интеграций, требующий одобрения службы безопасности перед предоставлением доступа.
Приложениям следует предоставлять токены с минимально необходимыми привилегиями. Вместо широких прав администратора с доступом на чтение и запись, если приложению нужен только доступ на чтение, следует выдавать именно его. Токены должны иметь ограниченный срок действия и регулярно ротироваться, подобно паролям, чтобы минимизировать окно возможностей для злоумышленников.
Необходимо проактивно выявлять и отзывать токены и интеграции, которые не использовались в течение нескольких недель или месяцев, поскольку они представляют собой скрытую угрозу. Активность токенов следует отслеживать, анализируя журналы на предмет аномалий: доступ из необычных геолокаций, резкий всплеск вызовов API или активность от обычно неактивной интеграции.
Отзыв токенов должен стать обязательным шагом в процессе увольнения сотрудника или вывода из эксплуатации стороннего приложения. Интеграция управления жизненным циклом токенов в стандартные ИТ-процедуры является критически важным элементом для поддержания безопасности в современной облачной среде.
Изображение носит иллюстративный характер
Токены — это цифровые ключи, предоставляющие доступ к SaaS-приложениям. Ключевой риск заключается в том, что украденный токен позволяет киберпреступнику действовать от имени легитимного пользователя или сервиса, полностью игнорируя защиту MFA. Это смещает фокус атак с эксплуатации уязвимостей программного обеспечения на компрометацию аутентификационных данных. К 2025 году, когда большинство компаний будут полностью зависеть от экосистемы SaaS-приложений, эта угроза станет доминирующей.
В январе 2023 года злоумышленники похитили токены сотрудников компании Slack. Используя их, они получили несанкционированный доступ к частным репозиториям кода Slack на платформе GitHub. Хотя данные клиентов не пострадали, инцидент продемонстрировал, как компрометация токенов может разрушить внутренние барьеры безопасности.
В том же месяце, январе 2023 года, компания CircleCI столкнулась с атакой, в ходе которой вредоносное ПО на ноутбуке инженера похитило его сессионные токены. Это позволило злоумышленникам получить тот же уровень доступа, что и у скомпрометированного сотрудника, обойдя MFA, и украсть конфиденциальные данные клиентов непосредственно с CI-платформы. Этот случай доказал, что MFA бессильна против кражи активных сессионных токенов.
В ноябре 2023 года, после взлома провайдера идентификации Okta, компания Cloudflare в рамках реагирования на инцидент сменила около 5000 учетных данных. Однако один-единственный не отозванный токен API и несколько учетных записей сервисов позволили атакующим скомпрометировать среду Atlassian, принадлежащую Cloudflare. Это подчеркивает, что даже одна ошибка в процессе ротации ключей может свести на нет все усилия по защите.
Атака на цепочку поставок, произошедшая в августе 2025 года, затронула чат-бот Drift, принадлежащий компании Salesloft. Злоумышленники смогли похитить OAuth-токены, использовавшиеся для интеграции с такими платформами, как Salesforce и Google Workspace. В результате они получили доступ к SaaS-данным сотен организаций-клиентов, перемещаясь по их системам и получая доступ к электронной почте, файлам и записям службы поддержки.
Первопричиной проблемы является экосистемный сбой, вызванный «SaaS-разрастанием». В среднем крупное предприятие использует около 490 облачных приложений, многие из которых не санкционированы ИТ-отделом. Это создает огромное количество OAuth-токенов, ключей API и межсервисных соединений, которые функционируют как «нечеловеческие личности». Они остаются невидимыми для традиционных систем управления идентификацией, формируя неуправляемую поверхность для атак.
Существующие инструменты безопасности неэффективны против этой угрозы. Системы единого входа (SSO) и MFA защищают процесс входа пользователя, но OAuth-токены предоставляют постоянное доверие между приложениями, обходя эти механизмы. Брокеры безопасного доступа к облаку (CASB) обычно отслеживают трафик «пользователь-приложение», но не контролируют соединения «приложение-приложение», где и используются токены. Неконтролируемые токены OAuth и API стали критической уязвимостью. Для решения этой проблемы разрабатываются динамические платформы безопасности SaaS, способные обнаруживать и защищать все сторонние приложения и их привилегии.
Для снижения рисков необходимо вести полный и актуальный перечень всех OAuth-токенов, ключей API и сторонних интеграций. Это первый шаг к восстановлению видимости и контроля над «ландшафтом токенов». Также следует внедрить формальный процесс проверки и утверждения для всех новых SaaS-интеграций, требующий одобрения службы безопасности перед предоставлением доступа.
Приложениям следует предоставлять токены с минимально необходимыми привилегиями. Вместо широких прав администратора с доступом на чтение и запись, если приложению нужен только доступ на чтение, следует выдавать именно его. Токены должны иметь ограниченный срок действия и регулярно ротироваться, подобно паролям, чтобы минимизировать окно возможностей для злоумышленников.
Необходимо проактивно выявлять и отзывать токены и интеграции, которые не использовались в течение нескольких недель или месяцев, поскольку они представляют собой скрытую угрозу. Активность токенов следует отслеживать, анализируя журналы на предмет аномалий: доступ из необычных геолокаций, резкий всплеск вызовов API или активность от обычно неактивной интеграции.
Отзыв токенов должен стать обязательным шагом в процессе увольнения сотрудника или вывода из эксплуатации стороннего приложения. Интеграция управления жизненным циклом токенов в стандартные ИТ-процедуры является критически важным элементом для поддержания безопасности в современной облачной среде.
