Loom вышел из строя из-за изменений в CDN-сети

Loom вышел из строя из-за изменений в CDN-сети

Loom вышел из строя из-за изменений в CDN-сети

Работа популярного сервиса Loom, используемого для аудио- и видеозаписи с экрана, была прервана 7 марта; сначала для части клиентов, потом для всех 17,75 млн пользователей по всему миру. Это вызвало опасения со стороны клиентов, которые решили, что сервис был взломан, а часть снятого персонального видео могла быть украдена.

Страхи были развеяны через 12 часов, когда на сайте компании в разделе официальных уведомлений было размещено экстренное сообщение. Представители сервиса заявили, что нарушения в работе Loom не были связаны со взломом, а произошли вследствие технической ошибки. Информация была доведена также персонально до каждого клиента, которого затронула возможная проблема раскрытия личных данных.

 

Сервис Loom

Сервис Loom широко используется геймерами и обычными пользователями для снятия видео с экрана и / или веб-камеры и последующего асинхронного обмена с подписчиками по ссылке. Для передачи видео применяется особая технология, запатентованная компанией Loom. Этот канал многие используют для общения с друзьями, записи обучающих курсов и поясняющих клипов, для распространения презентаций, видеоответов и т. д.

Разработчик сервиса уделяет значительное внимание безопасности своего приложения. Компания поддерживает обширную программу Bug Bounty на HackerOne. Поэтому выход сервиса из строя оказался для многих неожиданностью.

Технические подробности сбоя

Как сообщил в официальном блоге Loom Виная Хиремата (Vinay Hiremath), соучредитель и технический директор компании, причиной сбоя стало внесение инженерами изменения в конфигурацию собственной CDN-сети, используемой для доставки контента. В результате ошибки для части пользователей произошла отправка неправильных сеансовых cookie-файлов. В них сохраняются данные по аутентификации текущих сеансов, причем сервис использует автоматическое продление открытого сеанса при новом обращении клиента к API с заменой прежнего cookie-файла на новый.

Техническая ошибка произошла из-за того, что сервис отправил запрошенные сеансовые cookie-файлы по двум разным маршрутам в CDN-сети, где происходит их кеширование. В результате возникли побочные эффекты, которые привели к раздаче cookie-файлов ошибочным пользователям.

Как отметил Виная Хиремата, от момента получения первого предупреждения об ошибочной раздаче файлов до выявления причины сбоя прошло всего 7 минут. Поняв причину, инженеры Loom сначала пытались смягчить последствия, но им не удалось восстановить работоспособность сервиса. Поэтому через 20 минут было принято решение об отключении сервиса для пострадавших клиентов с целью предотвращения возможной утечки их данных.

Полное отключение работы сервиса Loom для всех пользователей произошло позднее — через один час и 9 минут после внесения исправлений в конфигурацию. После этого был осуществлен полный откат баз данных для восстановления работы сервиса. Сервис был остановлен в 11:30 (PST) и восстановлен только в 14:45 (PST).

Возможные утечки

Как сообщил технический директор (CTO), появилась угроза раскрытия служебной информации для ряда учетных записей, которая могла попасть в руки других пользователей. На текущий момент известно, что пострадали в общей сложности 5326 уникальных владельцев видео или 0,03% от общего числа пользователей Loom.

CTO отметил, что процессы внесения изменений в конфигурацию CDN были предварительно протестированы и подтверждены другими инженерами, занятыми на обслуживании инфраструктуры Loom. Подготовка длилась в течение 10 дней, и за это время не было замечено никаких аномальных происшествий. Никаких изменений кода, связанных с аутентификацией или поддержкой работы сеансов, не происходило.

Причиной внесения изменений стал переход от устаревших политик AWS, на базе инфраструктуры которого работает сервис Loom.

CTO заверил, что компания постарается улучшить свои инструменты мониторинга и оповещения, чтобы более быстро и надежно выявлять в будущем ненормальное использование сеансов в разных учетных записях и службах.

57% компаний не знают свою инфраструктуру, поэтому дольше расследуют атаки

Российские ИБ-команды по-прежнему вынуждены больше тушить пожары, чем предотвращать их. К такому выводу пришли аналитики компании «Гарда», изучив практики реагирования на киберинциденты в российских организациях. Главная проблема оказалась вполне ожидаемой — расследование инцидентов.

Для 33% компаний именно анализ логов и поиск индикаторов компрометации остаются самым трудоемким этапом реагирования. А в организациях с численностью свыше 5000 сотрудников этот показатель достигает 42%.

При этом далеко не все компании вообще знают, что происходит в собственной инфраструктуре. Исследование показало, что 57% организаций не проводят полную инвентаризацию и классификацию ИТ-активов. Из-за этого расследования затягиваются, а поиск источника атаки превращается в настоящий квест.

Еще одна хроническая болезнь отрасли — нехватка кадров. Более половины участников исследования признались, что специалистов по информационной безопасности попросту не хватает. Особенно остро проблема ощущается в компаниях с численностью от 250 до 1000 сотрудников, где на кадровый дефицит указали 70% респондентов.

С автоматизацией тоже все непросто. Хотя 52% компаний уже используют SIEM-системы, специализированные инструменты активного реагирования — XDR, SOAR, EDR и NDR — внедрены значительно реже. В результате многие процессы по-прежнему выполняются вручную.

Чаще всего автоматизируют самые очевидные действия: блокировку IP-адресов и доменов (49%), отключение учетных записей (46%) и изоляцию зараженных устройств (35%).

Еще один любопытный вывод исследования — главными источниками головной боли остаются вовсе не сложные APT-группировки, а старые добрые фишинг и компрометация учетных записей. Человеческий фактор по-прежнему остается любимой точкой входа злоумышленников.

По словам руководителя продуктового направления «Гарды» Станислава Грибанова, по мере роста инфраструктуры расследовать атаки становится все сложнее. Поэтому рынок постепенно смещается в сторону поведенческого анализа, машинного обучения и автоматической приоритизации событий — технологий, которые позволяют быстрее находить действительно опасные инциденты и освобождать аналитиков от рутинной работы.

RSS: Новости на портале Anti-Malware.ru