Уязвимость длиной в месяцы: как финтех-стартап хранил пароли в Excel
Очередной инцидент в сфере информационной безопасности демонстрирует, как хранение конфиденциальных данных в уязвимом месте и без адекватной защиты может создать серьезные риски для компании.
Содержание
«Военная» защита с одной большой дырой
Эта история стала известна благодаря Станиславу Казанову, руководителю стратегических практик в компании Innowise, занимающейся разработкой программного обеспечения. Несколько лет назад команда Казанова получила задание провести аудит соответствия и архитектуры данных для одного финтех-стартапа (компании в сфере финансовых технологий).
Руководство стартапа инвестировало более 1 миллиона долларов США в создание «военной» системы безопасности, включающей биометрическую многофакторную аутентификацию (MFA), обнаружение угроз на конечных точках сети и множество средств физической защиты.
Поиск «секретной» папки
В ходе аудита Казанов обнаружил на корпоративном интранете компании, доступном всем сотрудникам, папку под названием «DevOps_Handoff». Внутри папки находилась электронная таблица с весьма «неоднозначным» именем файла: Prod_DB_Root_Creds_DO_NOT_SHARE.xlsx. По мнению экспертов, такое наименование вряд ли могло обмануть потенциальных злоумышленников.
Таблица Excel была защищена паролем, однако уровень этой защиты оказался под вопросом. Когда Казанов запросил пароль у ведущего инженера, тот, испытывая смущение, назвал комбинацию: «[название компании] + [год]». Если представить, что название компании было, например, «Контосо», то пароль мог бы выглядеть как «контосо2026″. Хотя это не «admin123″, подобная структура пароля значительно облегчает его подбор.
Причины появления уязвимости
Ведущий инженер пояснил Казанову, что файл появился из-за разногласий между внутренней командой DevOps и внешней командой администраторов баз данных (DBA) относительно выбора корпоративного менеджера паролей. В качестве «временного» решения спорной ситуации критически важные учетные данные для доступа к корневым базам данных и мастер-ключи AWS IAM (управление доступом в Amazon Web Services) были помещены в эту таблицу. На момент обнаружения файл существовал уже восемь месяцев.
Типичные ошибки в сфере IT-безопасности
Среди других примеров распространенных ошибок, встречающихся в практике обеспечения безопасности:
- Крупнейшая дыра в безопасности компании располагалась в комнате отдыха.
- Использование пароля «admin123″ оказалось менее опасным, чем его публичная рассылка в Slack.
- Замок серверной комнаты не обеспечивал никакой защиты.
- «Защита» с помощью стикеров превратила спортзал в источник угроз из 80-х.
Уроки инцидента
Хотя предполагается, что проблема была устранена после вмешательства Казанова и до того, как произошли серьезные инциденты, этот случай подчеркивает: разногласия по вопросам обеспечения безопасности ресурсов могут приводить к опасным компромиссам.
В подобных ситуациях внутренняя команда DevOps должна принимать окончательное решение о выборе менеджера паролей, который будет использоваться как собственными сотрудниками, так и подрядчиками. Передача конфиденциальных данных в электронную таблицу, даже если она защищена надежным паролем, является недопустимой.
Один из основных принципов кибербезопасности — предоставление индивидуального доступа и учетных данных только тем, кто действительно в них нуждается. В данном случае файл находился в интранете, доступном всем сотрудникам, а также подрядчикам, таким как Казанов. Поскольку речь шла о финтех-компании, обрабатываемые данные могли быть связаны с миллионами или даже миллиардами долларов США пользовательских средств. Такая ситуация является крайне серьезной, и халатное отношение к вопросам безопасности неприемлемо для компаний, работающих с финансовыми активами и транзакциями.
