Оставленная сессия — ключ от всех ваших цифровых дверей

от

«Если ты думаешь, что сессия в браузере, это просто куки, которые удалятся при закрытии окна, то ты сильно недооцениваешь возможности человека, который сядет за твой компьютер. За 10 минут он может не просто посмотреть твою почту. Он получит доступ к тому, что ты считал защищённым, просто потому что ты уже вошёл. Регуляторы требуют защищать сессии, но чаще всего никто не знает, как это сделать на практике.»

Обновлённый пароль, старая почта и мгновенный контроль

Оставаешься в системе на общем компьютере в коворкинге, кафе, библиотеке. Кажется, что максимум — прочитают письма или посмотрят мессенджер. На самом деле, это ключ от всех цифровых дверей.

Самый простой путь — изменить пароль к этому самому аккаунту. Для этого не нужен старый пароль. Достаточно зайти в настройки безопасности и запросить смену. Подтверждение придёт на ту же почту или телефон, которые уже открыты в браузере. Через минуту аккаунт принадлежит уже не тебе.

Вторая ступень — восстановление доступа к другим сервисам. Многие привязывают для восстановления основную почту — ту самую, в которую уже вошли. Если пароль к соцсети, банковскому приложению или рабочему корпоративному порталу можно сбросить через «Забыли пароль?», ссылка для этого придёт в уже открытый почтовый ящик. Теперь злоумышленник восстанавливает доступ уже к куда более важным системам.

Почему двухфакторная аутентификация — не гарантия

«У меня включено смс-подтверждение, меня не взломают», — думаешь ты. Это распространённое заблуждение. Если сессия активна, двухфакторная аутентификация, или 2FA, часто не срабатывает.

Дело в логике работы защитных механизмов. 2FA требуется при входе с нового устройства или из незнакомого места. Но если злоумышленник действует в рамках уже открытой, «доверенной» сессии — с того же IP-адреса и браузера — система видит его как «тебя». Для многих операций внутри аккаунта — смены пароля, добавления новых способов входа, подтверждения платежа — повторный ввод кода из смс или приложения не требуется. Доверие уже установлено.

Более того, имея доступ к открытой почте, можно найти резервные коды для восстановления 2FA, отключить её вовсе или добавить новый метод аутентификации — например, привязать свой номер телефона. После этого даже твой собственный телефон перестанет быть ключом.

Работа с токенами и куки-файлами сессии

С технической стороны, оставленная сессия, это набор активных токенов доступа и куки-файлов. Они живут в браузере, пока ты не нажмёшь «Выйти». Для сервера это непрерывный доверенный сигнал: «Этот пользователь всё ещё здесь». Эти токены могут использоваться не только для веб-интерфейса, но и для взаимодействия с API сервиса.

С помощью инструментов разработчика в браузере (F12) человек с доступом может извлечь эти токены. Скопированный токен затем можно использовать для отправки запросов к сервису уже с другого устройства, имитируя законную сессию, даже после того, как ты сам завершил её на общественном компьютере.

Корпоративные риски: от персональных к организационным

Случай в коворкинге кажется бытовым. Но если сотрудник удалённо работает из общественного места и забывает выйти из корпоративного аккаунта — риски кратно возрастают.

Доступ к почтовому ящику сотрудника, это не просто его личные письма. Это возможность:

  • Найти переписку с финансовым отделом, бухгалтерскими документами, данными контрагентов.
  • Воспользоваться «забытым паролем» для доступа к внутренним системам компании, если восстановление идёт через корпоративную почту.
  • Найти вложения с паролями, коммерческими предложениями, черновиками договоров.
  • От имени сотрудника отправить фишинговое письмо коллегам или клиентам, что выглядит максимально правдоподобно.

Именно такие инциденты, а не сложные хакерские атаки, часто становятся первопричиной утечек, попадающих в поле зрения регулятора. У ФСТЭК при проверках по 152-ФЗ есть понятие «инцидент информационной безопасности». Несанкционированный доступ к информации из-за оставленной сессии полностью под него подпадает.

Что требуют регуляторы и как это реализовать

Требования по управлению сессиями есть в базовых отраслевых стандартах. Они направлены не на пользователя, забывшего выйти, а на организацию, которая должна технически снизить последствия такой забывчивости.

Ключевые меры:

  1. Автоматическое завершение сессии по тайм-ауту. Это основной механизм. Неактивная сессия должна завершаться автоматически после строго определённого периода — обычно 15-30 минут для обычных пользователей и ещё меньше для привилегированных учётных записей. Это не «разлогинивание» при закрытии браузера, которое легко обойти, а именно серверная политика неответа на запросы со старыми токенами.
  2. Ограничение параллельных сессий. Для одного пользователя должна работать только одна активная сессия. При входе с нового устройства предыдущая должна автоматически завершаться. Это сразу сделает украденный токен бесполезным.
  3. Прозрачность для пользователя. В настройках безопасности аккаунта должен быть раздел «Активные сессии» или аналогичный, где видно все устройства и места входа с возможностью удалить любое из них. Это позволяет вручную «выгнать» незнакомую активность.

Для бизнеса важно, чтобы эти настройки были не просто «включены» в корпоративных сервисах, но и чтобы их параметры соответствовали утверждённой политике информационной безопасности. Простая активация тайм-аута в 8 часов не будет считаться достаточной мерой.

Что делать в день обнаружения проблемы

Осознал, что оставил компьютер с открытым аккаунтом? Протокол действий должен быть чёток и отработан:

  1. Немедленная смена пароля. Сделать это нужно обязательно с доверенного устройства, к которому у постороннего нет доступа. Смена пароля должна привести к инвалидации всех активных сессий на стороне сервиса.
  2. Проверка активных сессий. Зайти в настройки безопасности аккаунта и принудительно завершить все сессии, кроме текущей.
  3. Ревизия настроек безопасности. Проверить, не добавлены ли новые способы входа, резервные email или номера телефонов, не изменены ли настройки 2FA.
  4. Для корпоративных аккаунтов — уведомление ИБ-службы. Не замалчивать инцидент. Служба информационной безопасности должна его зафиксировать, оценить возможные последствия и, при необходимости, инициировать дополнительные меры: смену паролей в связанных системах, анализ логов на предмет подозрительной активности.

Главное — скорость. Те самые 10 минут, за которые многое можно успеть, работают и в обратную сторону: чем быстрее ты среагируешь, тем выше шанс предотвратить реальный ущерб.

Оставьте комментарий