<b>Аккаунт маркетингового стека ломают не паролем, а через слабую связку прав и сессий</b>
Чаще всего проблемы начинаются не с «взлома», а с накопленных исключений: общий доступ к рекламному кабинету, старый OAuth-токен, сервисный аккаунт без ротации, экспорт в BI с лишними правами.
Проверьте четыре точки:
• кто может менять платежи, пиксели, домены и webhooks
• какие токены живут дольше, чем нужно для задачи
• есть ли у подрядчика доступ к CRM/CDP после завершения работ
• разделены ли роли: просмотр, запуск кампаний, админка, аудит
Дальше смотрите на сессии и интеграции. Если один пользователь входит с разных стран и устройств, а тот же токен дергает API из нескольких подсетей, это не «удобство», а повод пересобрать доступы. Для ESP, CDP и ad-server особенно важны отдельные сервисные учетные записи и журналирование изменений.
Минимум, который должен быть всегда: MFA, короткий срок жизни токенов, отзыв неиспользуемых OAuth-приложений, ревизия партнерских доступов и отдельный контроль для доменных настроек. Это снижает риск тихой подмены аудитории, ретаргетинга и утечки сегментов.
Если аккаунт можно восстановить только «по памяти», значит, контроль уже слабый. Сделайте инвентаризацию доступов и уберите все, что не нужно для текущей работы.
Marketing Cybersec
@marketing_cybersec
<b>Аккаунт маркетингового стека ломают не паролем, а через слабую связку прав и сессий</b>
Этот пост опубликован в Telegram-канале Marketing Cybersec. Подписаться можно по ссылке: @marketing_cybersec.