<b>Аккаунты рекламных и SaaS-сервисов ломают не «взломом», а слабой связкой доступа и привилегий</b>
Почти любой инцидент в marketing stack начинается с одного из трёх сценариев: общий пароль в команде, лишняя роль у подрядчика или неотключённый доступ после увольнения. Дальше атакующий не «ломает систему», а работает через легитимный вход: меняет email для восстановления, добавляет API-ключ, создаёт новый пользовательский токен.
Что проверить в первую очередь:
• у каждого ли сотрудника и агентства свой аккаунт, без shared-login
• включена ли MFA на всех админках, ESP, CDP, CRM и ad platform
• есть ли отдельные роли для чтения, запуска кампаний и администрирования
• удаляются ли токены, приложения и сессии при смене подрядчика
• кто видит export, аудит-логи и доступ к сегментам с PII
Отдельная зона риска — сервисные интеграции. Если pixel-tracker, webhook или data connector живёт дольше человека, его надо считать полноценной учётной записью: с владельцем, ротацией секрета и журналом использования. Иначе утечка одного API-ключа даёт доступ не к одному кабинету, а к цепочке: CRM, рассылки, аудитории, отчётность.
<b>Хорошая модель проста: минимум прав, отдельные аккаунты, регулярный пересмотр доступа и быстрый отзыв токенов.</b> Если у учётки нельзя назвать владельца и бизнес-роль за 10 секунд — это не контроль доступа, а технический долг.
Marketing Cybersec
@marketing_cybersec
<b>Аккаунты рекламных и SaaS-сервисов ломают не «взломом», а слабой связкой доступа и привилегий</b>
Этот пост опубликован в Telegram-канале Marketing Cybersec. Подписаться можно по ссылке: @marketing_cybersec.