Скажи мне, кто твои субпроцессоры, и я скажу тебе, кто ты...
В продолжение к посту
Email-tracking и конфиденциальная переписка Очередная купленная за охулиард евро SaaS-софтина, хвастающаяся тем, что у нее все данные хранятся в облаке в Германии, и поддержка тоже 100% немецкая, использует сервисы mailchimp и twilio для рассылки уведомлений.
Да, эти компании указаны в списке Subprocessors в соответствующем разделе Data Processing Addendum, как того требует GDPR, но при этом человек, ответственный за data protection на стороне SaaS-провайдера, продолжал утверждать, что все данные хранятся на истинно арийских серверах в Германии. В итоге оказалось, что это не совсем так.
Например, сотруднику приходит письмо: "Дорогой Генрих, пришло время твоей ежегодной аттестации! Пожалуйста, пройди по этой ссылке для заполнения анкеты".
Мало того, что в самом письме имеется tracking-pixel, собирающий данные о пользователе (версия ОС, браузера, IP-адрес, возможное местоположение, время и количество открытий письма), так еще и ссылки форматируются таким образом, что в mailchimp и twilio отправляется инфа, кто, куда и когда кликнул.
Чем это опасно? Предположим, акк SaaS-провайдера в mailchimp и twilio был взломан. Тогда у злоумышленников имеется весьма актуальная база данных сотрудников компании. Потенциально еще и с данными по иерархии, так как менеджеры будут получать письма с заголовками, отличающимися от того, что приходит простым сотрудникам.
А у Twilio не далее как в июле этого года злоумышленники
нашли публичное AWS S3 ведро (омг, публичное ведро в 2020м году!), где компания хранила клиентский SDK, и встроили туда вредоносный код. Причем в факте взлома twilio признался только тогда, когда один из сотрудников, по своей инициативе оповестил об этом прессу. До этого же несколько дней клиенты компании продолжали использовать malwareSDK для процессов рассылки уведомлений подписчикам.
И это несмотря на то, что они являются членами Cloud Security Alliance, ISO27001 certified, и SOC2 за 2019й год у них неплохой.
То есть, наш многострадальный Генрих может получить вполне легитимное на вид письмо от SaaS-приложения (с корректным адресом отправителя), в котором ссылка на его аттестацию может быть сформатирована таким образом, чтобы скомпрометировать его рабочую станцию или даже украсть его SSO-кукизы, с помощью которых злоумышленники получат доступ к другим ресурсам компании.
А ведь мы менее подозрительно относимся к письмам от приложений, которые мы ожидаем...
Понятно, что даже если бы у SaaS-софтины был свой почтовый сервер, то и его могли бы взломать. Но в случае кучи субподрядчиков, разумеется, контроля за уровнем безопасности конечного продукта меньше.