Безопасность в Octo: реальные примеры угроз и лучшие практики защиты

Какие встречаются угрозы — реальный кейс 

Не так давно к нам обратились пользователи с кейсом, на основе которого можно показать сразу несколько проблем с настройками безопасности, которые могут привести к потере контроля над профилями. 

У нескольких пользователей Octo злоумышленники залогинились в аккаунты и получили доступ к профилям. Мы провели расследование, в рамках которого определили:

• логин в аккаунты был с первого раза, т. е. злоумышленники знали пароли;

• ни у кого из пострадавших не была установлена 2FA;

• данные пострадавших есть в утечках с профильных сайтов, это могло подсказать злоумышленникам, какие именно аккаунты нужно прорабатывать.

Вероятность получения злоумышленниками паролей из базы Octo нулевая — мы не храним пароли в открытом виде. Эти данные зашифрованы, и даже команда Octo не имеет к ним доступа. Также был исключен вариант с перебором данных для входа, так как система безопасности Octo определяет опасные активности и сбрасывает пароли пользователей, оказавшихся под угрозой. Как маловероятный был исключен вариант взлома через ранее похищенные данные базы стороннего сервиса, так как у одного из пострадавших был изменен пароль уже после обнаруженного слива. 

Наиболее вероятным инструментом, который злоумышленники использовали для проникновения в аккаунт пользователя, является программа-стилер. Такие программы устанавливаются на устройство пользователя и похищают данные для входа в различные сервисы. 

Вывод: наиболее эффективный способ защитить свои данные — это установить двухфакторную аутентификацию. Она в значительной степени защищает в том числе и от взлома с помощью стилеров. Это касается не только Octo, но и любого другого сервиса. 

Защитить устройства пользователей от программ-стилеров команда Octo не может. Однако на уровне архитектуры сервиса и набора опций безопасности мы закрыли все возможные векторы атаки. Разумеется, как показывает приведенный выше кейс, этого может быть недостаточно. Давайте разберемся, что уже сделано для безопасности на стороне команды Octo, а для чего нужно ваше прямое участие. 

Что мы уже сделали для того, чтобы защитить ваши профили

• Обеспечили безопасное хранение данных. Мы используем шифрование по стандарту AES-256. Это максимально безопасный протокол, им пользуются правительственные и финансовые организации, банки и компании.

• Зашифровали данные профилей несколькими компонентами: секретным ключом, уникальным ключом из базы данных и ключом пользователя, если пользователь запаролил профиль. В случае если у злоумышленника нет доступа хоть к какому-то из этих компонентов, профиль расшифровать невозможно. 

• Настроили защиту от взлома перебором. Если есть угроза — сбрасываем пароль пользователя. 

• Постоянно улучшаем защиту данных в рамках текущих обновлений: переходим на более сложные варианты шифрования, добавляем новые процессы для мониторинга событий безопасности. 

Что вам самим стоит сделать в первую очередь 

• Установить двухфакторную аутентификацию. Это простое действие защитит вас от большинства распространенных угроз. Также обязательно сохраните в безопасном месте резервные коды от 2FA на случай, если вдруг потеряете устройство, к которому она привязана. 

• Обеспечьте гарантированный доступ к электронной почте, на которую зарегистрирован аккаунт в Octo.Только через нее вы сможете поменять пароль в случае принудительного сброса. 

Какие дополнительные возможности у вас есть для повышения уровня безопасности 

• Использовать уникальные и сложные пароли. От стилера не спасет, но это хорошее начало. 

• Проверить, есть ли ваши данные в утечках. Скорее всего, есть. Самая опасная ситуация — если утечка была с профильного ресурса, пользователи которого с большой вероятностью используют антидетекты. В этом случае у злоумышленников есть все необходимое, чтобы выбрать вас как приоритетную цель и с помощью похищенных данных попытаться получить доступ к профилям. 

• Поставить пароли для самых важных профилей. Если у вас есть профили, через которые можно вывести деньги, лучше всего будет защитить их дополнительным паролем. Такая опция есть в Octo. Этот пароль не будет знать никто, кроме вас. Это значит, что проникнуть в него не смогут, даже если физически похитят ваше устройство. Также такой профиль нельзя будет передать в другой аккаунт с помощью трансфера. Однако будьте осторожны: если забудете или потеряете пароль для профиля — восстановить его будет уже невозможно. 

• Настроить доступы внутри команды. Человеческий фактор — главная причина проблем, и не только с безопасностью в Octo. Поэтому настроить доступы к профилям для разных членов команды можно с помощью тегов. А если вам понадобится лишить участника команды доступа к определенным профилям, это можно легко сделать в настройках вашего аккаунта в разделе «Команда». Полностью удалить аккаунт одного из участников команды может мастер команды.