В офіційному повідомленні йдеться, що хакерам вдалося отримати доступ до платформи Amazon, на якій розміщені всі ресурси компанії. Як саме було викрадено ключі доступу від Amazon OneLogin - не розкривається. Багато експертів (в тому числі і я) припускають, що мала місце некоректна конфігурація інфраструктури, в результаті якої компрометація одного вузла неминуче приводила до компрометації всіх ключів доступу і, як наслідок, ресурсів. Таке трапляється, наприклад, через недбалої настройки засобів централізованого управління пакетами файлами, такими як Ansible, Puppet, Chef.
Примітно, що компанія заявила, що крім доступу до баз атакуючим вдалося також отримати і доступ до ключів шифрування даних в них. Виникає резонне питання: навіщо взагалі в такому випадку компанія шифрувати дані? Це в черговий раз розкриває велику і добре відому проблему якості впровадження засобів захисту інформації, які часто використовуються лише формально. Розробники «для галочки» дотримуються умови та вимоги, не маючи на меті фактичну безпеку.
Оцінити масштаб катастрофи, пов'язаної зі зломом OneLogin, складно, але і переоцінити його теж практично неможливо. У атакуючих знаходяться дані декількох сотень кінцевих користувачів і, що найголовніше, ключі доступу до різних сервісів - поштою, офісних додатків і ін. Ці ключі можуть роками бути активними, і навіть зміна пароля не може відняти доступ у їх власника. Компанія стверджує, що працює з усіма партнерами по відкликанню всіх ключів доступу до даних користувачів.
Для рядових веб-проектів така масова витік означатиме нові хвилі атак типу credential stuffing, при яких хакери масово намагаються відомі вкрадені логіни і паролі на предмет доступу до інших ресурсів, зокрема до банків і інтернет-магазинах. Такі атаки є дуже ефективними і успішними внаслідок використання користувачами одних і тих же паролів на різних інтернет-сервісах.
Цікаво, що це перший випадок злому подібного роду проектів і такого масштабу. Раніше увагу експертів часто привертав тільки сам протокол аутентифікації OAuth, в якому виявлялося безліч недоліків. Але все це не йде в порівняння з масштабом витоку даних в разі злому самого сервісу сторонньої аутентифікації. Експерти пророкують масовий перехід компаній від сервісів сторонньої аутентифікації на користь локальних впроваджень таких систем. Даний інцидент відкриває нову сторінку в історії масових зломів, і, ймовірно, можна очікувати нові успішні атаки хакерів на інші сервіси аутентифікації - дуже вже смачною виявляється їх видобуток.