Компрометація лише одного корпоративного акаунта Single Sign-On (SSO) сьогодні часто означає фактичний злом всієї цифрової екосистеми компанії. Саме цим підходом, за даними дослідників, активно користується кіберзлочинна група ShinyHunters, яка веде масштабну кампанію проти SSO‑рішень Okta, Microsoft Entra ID та Google.
Цільові фішингові атаки на SSO Okta, Microsoft Entra та Google
ShinyHunters сфокусувалися на корпоративних облікових записах, які керуються популярними платформами єдиного входу: Okta, Microsoft Entra ID (колишній Azure AD) та Google SSO. Мета — отримати контроль над обліковими даними співробітника та через них проникнути у підключені SaaS‑сервіси й внутрішні системи підприємства.
До типового SSO‑профілю прив’язані такі сервіси, як Salesforce, Microsoft 365, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian та інші критичні бізнес‑платформи. Успішний злам одного акаунта перетворюється на «магістральний» доступ до інфраструктури, створюючи умови для масштабної витоку даних, саботажу та подальших атак.
Компанія Okta оприлюднила технічний аналіз використаної фішингової інфраструктури та інструментів, однак формально не підтвердила прямий зв’язок описаних інцидентів саме з ShinyHunters. Втім, тактика та часові рамки атак збігаються з активністю цієї групи, яку раніше вже пов’язували з гучними зливами баз даних.
Техніка атаки: соціальна інженерія та обхід багатофакторної автентифікації
Ключовий інструмент ShinyHunters — соціальна інженерія. Зловмисники телефонують співробітникам, представляючись працівниками ІТ‑підтримки або служби безпеки. Під приводом «перевірки доступу», «реактивації облікового запису» чи «термінової безпекової процедури» жертву переконують перейти за підробленим посиланням та ввійти в SSO‑систему.
Для цього використовуються спеціалізовані фішингові панелі, що працюють у режимі людина посередині (Man‑in‑the‑Middle) і здатні динамічно змінювати вміст підробленої сторінки залежно від типу MFA, який запитує справжній сервіс: push‑сповіщення, TOTP‑код, SMS тощо. У результаті атакуючі в реальному часі перехоплюють і логін/пароль, і одноразові коди, отримуючи повноцінну SSO‑сесію користувача.
Такий MFA‑фішинг робить класичні методи багатофакторної автентифікації (особливо TOTP та SMS) значно менш ефективними. Це узгоджується з даними провідних звітів з безпеки (Verizon DBIR, Microsoft DSR), де соціальна інженерія й фішинг стабільно входять до переліку найчастіших векторів початкового проникнення в корпоративні мережі.
Компрометація великих онлайн‑платформ: SoundCloud, Betterment, Crunchbase
Паралельно ShinyHunters перезапустили свій Tor‑ресурс для публікації вкрадених даних і заявили про зломи SoundCloud, Betterment та Crunchbase, де нібито отримали десятки мільйонів записів із персональними даними користувачів.
SoundCloud: підтверджений інцидент та мільйони постраждалих акаунтів
Ще в грудні SoundCloud повідомив про інцидент, який зачепив близько 20% бази користувачів — приблизно 28 млн акаунтів. На цьому тлі нові заяви ShinyHunters виглядають як продовження вже відомої компрометації з потенційно більшим обсягом оприлюднених даних.
Betterment: поєднання зламу та криптовалютного скаму
Фінтех‑компанія Betterment підтвердила несанкціонований доступ до інфраструктури, отриманий за допомогою соціальної інженерії. Здобуті привілеї зловмисники використали не лише для крадіжки інформації, а й для розсилки клієнтам шахрайських повідомлень, пов’язаних із криптоінвестиціями, що створює додатковий прямий фінансовий ризик для користувачів.
Crunchbase: витік внутрішніх документів та службової переписки
Crunchbase публічно не повідомляв про інцидент до появи архівів на сайті ShinyHunters, однак після витоку компанія визнала факт кібератаки. Згідно з офіційними коментарями, зловмисник отримав доступ до низки внутрішніх документів, хоча критичні бізнес‑процеси нібито не постраждали. До розслідування залучені сторонні фахівці з кібербезпеки, інформовано регуляторні органи.
Аналіз даних Crunchbase, проведений дослідниками Hudson Rock, виявив серед викрадених масивів персональну інформацію користувачів, підписані договори та внутрішню корпоративну переписку, що вказує на високий рівень впливу інциденту на конфіденційність і репутацію.
Чому атаки на SSO особливо небезпечні для корпоративної безпеки
Впровадження SSO‑платформ спрощує управління доступом, але водночас формує єдину точку відмови безпеки. Компрометація одного акаунта може призвести до:
- неконтрольованого доступу до десятків критичних SaaS‑сервісів та хмарних застосунків;
- масових витоків персональних, фінансових і комерційно чутливих даних;
- ескалації привілеїв і просування зловмисників у глиб мережі (включно з DevOps‑, фінансовими та HR‑системами);
- використання скомпрометованих облікових записів для подальших фішингових та BEC‑атак на партнерів, постачальників і клієнтів.
У власних заявах ShinyHunters стверджують, що використовують масиви даних із попередніх зламів (у тому числі інцидентів навколо Salesforce) для підбору жертв і підготовки правдоподібних сценаріїв дзвінків. Наявність реальних номерів телефонів, посад, імен керівників та внутрішньої термінології істотно підвищує ефективність фішингу.
Як захистити SSO та знизити ризики MFA‑фішингу
Щоб мінімізувати наслідки атак на SSO‑інфраструктуру, компаніям доцільно реалізувати комплексний підхід до захисту корпоративних облікових записів та підвищення стійкості до соціальної інженерії:
- впроваджувати фішинг‑стійкі методи MFA (FIDO2‑ключі, апаратні токени, сертифікатну автентифікацію) і максимально відмовлятися від TOTP/SMS/push як основного фактора;
- використовувати контекстну автентифікацію в Okta, Microsoft Entra та Google (аналіз пристрою, геолокації, ризикових шаблонів поведінки);
- чітко регламентувати роботу ІТ‑підтримки: категорична заборона на запит логінів, паролів та кодів підтвердження телефоном або e‑mail;
- регулярно проводити навчання співробітників виявленню фішингу, vishing‑дзвінків і підозрілих запитів щодо доступу;
- налаштувати моніторинг та алерти на аномальні входи, нові пристрої, незвичні операції з правами доступу в ключових SSO‑ та SaaS‑платформах;
- дотримуватися принципу найменших привілеїв, щоб компрометація одного акаунта не давала повний адміністративний контроль над середовищем.
Масштабна кампанія ShinyHunters демонструє, що навіть зрілі організації з впровадженим SSO та класичною MFA залишаються вразливими без фішинг‑стійкої автентифікації, жорсткого управління доступами й постійного моніторингу загроз. Компаніям варто вже зараз переглянути свою модель довіри, посилити захист SSO‑рішень і системно інвестувати в підвищення обізнаності співробітників — це значно зменшує шанси опинитися в новинах як наступне джерело гучного витоку даних.
