Инсайдерска заплаха разкрива нови слабости в контрола на достъпа

Бивш служител на Meta е обект на разследване от киберзвено на Metropolitan Police, след като се появиха данни, че е изтеглял лични снимки на потребители от Facebook чрез специално разработен инструмент.

Според съдебни документи от съд в Северен Лондон, инженерът е създал софтуер, който е позволявал достъп до потребителско съдържание, като същевременно е заобикалял вътрешните механизми за сигурност и одит на компанията. Случаят повдига сериозни въпроси относно ефективността на вътрешните контроли и мониторинг върху привилегирован достъп.

Хронология на случая и реакция на компанията

Инцидентът датира отпреди повече от година, но става публично известен едва сега, след серия съдебни заседания, свързани с условията по гаранцията на заподозрения.

От Meta потвърждават, че са открили неправомерния достъп още тогава и са предприели незабавни действия:

• прекратяване на трудовото правоотношение със служителя
• уведомяване на засегнатите потребители
• сигнализиране на органите на реда
• допълнително укрепване на вътрешните механизми за сигурност

Разследването в момента се води от специализиран детектив от киберзвено на Metropolitan Police, като заподозреният е под гаранция и няма право да напуска страната.

Технически аспект: заобикаляне на системите за одит

Един от най-притеснителните елементи в случая е твърдението, че разработеният инструмент е бил създаден така, че да избегне автоматизираните системи за мониторинг и одит.

Това предполага:

• експлоатиране на вътрешни API или бекенд услуги
• злоупотреба с легитимни привилегии
• липса на достатъчно granular logging или behavioral analytics

Към момента не е ясно:

• какъв е бил точният обхват на достъпа
• дали данните са били споделяни с трети страни
• дали става дума за единичен акт или продължителна кампания

Hарастващ риск от вътрешни заплахи

Случаят се вписва в по-широка тенденция на увеличаващи се вътрешни заплахи (insider threats), при които служители или контрагенти със законен достъп извършват злонамерени действия.

Този тип атаки са особено трудни за откриване, тъй като:

• използват валидни идентификационни данни
• често не генерират типични аларми
• могат да останат незабелязани дълго време

Предходни инциденти и съмнения около достъпа до данни

През май миналата година се появиха информации за масово извличане на данни от Facebook чрез API, при което се твърдеше, че база данни с над 1.2 милиарда потребители е била компрометирана.

Макар Meta да не отрече напълно инцидента, компанията не предостави детайлна информация за неговия мащаб и последствия.

Изводи и уроци за организациите

Случаят подчертава необходимостта от:

• строг контрол върху привилегирования достъп (PAM)
• непрекъснат мониторинг на поведението на потребителите (UEBA)
• разделение на достъпа и принцип „най-малка необходимост“
• редовни одити на вътрешните инструменти и API

В ерата на хибридни инфраструктури и масово криптиран трафик, вътрешните заплахи се превръщат в един от най-критичните рискове за организациите.