Mehr Sicherheit in der Atlassian Cloud: Der Credential Invalidator schützt vor Account-Übernahmen durch gestohlene Session-Cookies

In einem früheren Blogpost hatte Atlassian einen neuen Service zum Monitoring gestohlener Zugangsdaten (Nutzername- und Passwortkombinationen) vorgestellt, die bei Datenpannen anderer Anbieter in die Hände böswilliger Akteure gelangt sind: den Credential Invalidator. Seitdem konnte der Hersteller nach eigenen Angaben über 200.000 solcher Kombinationen für die Hacker unbrauchbar machen.

In der vergangenen Monaten hat sich im kriminellen Untergrund des Internets ein neuer Trend herauskristallisiert: Der Diebstahl von Sessions auf den Endgeräten der Opfer, um sich unberechtigten Zugang zu allen möglichen Arten von Accounts zu verschaffen, darunter auch Atlassian-Accounts. Diese Session-Cookies werden dann in kriminellen Kreisen gehandelt und geteilt.

Um dieses Risiko abzuschwächen, betreibt Atlassian nun zusätzlich ein Monitoring im Hinblick auf gestohlene Session-Cookies und invalidiert sie, sodass sie für den Hacker nutzlos werden.

Was sind Session-Cookies?

Durch eine "Session" trackt eine Website den User, wenn er sich zwischen den einzelnen Seiten bewegt und mit der Website interagiert. Beim Login wird auf dem Server der Website ein Session-Cookie erstellt, der gelöscht wird, wenn sich der User ausloggt.

Dank dieser Session-Cookies "kennt" die Website die Nutzerin bzw. den Nutzer, das Nutzungserlebnis läuft deutlich besser und reibungsärmer. Ohne einen solchen Cookie müssten sich User beispielsweise jedes Mal neu authentifizieren, sobald sie eine andere Seite aufrufen.

Und da Session-Cookies aus guten Gründen überall im Netz genutzt und auf den Endgeräten der User gespeichert werden, sind sie ins Visier böswilliger Akteure geraten. Session-Cookies werden bei jedem Login erstellt, und Hacker versuchen, diese Informationen von den Geräten der Opfer zu stehlen, um sie auf eigenen Geräten zu verwenden und mit falschen Identitäten auf geschützte Daten zuzugreifen.

Schutz vor Account-Übernahmen in der Atlassian Cloud

Atlassian sammelt Informationen über gestohlene Sessions und ergreift Maßnahmen, indem alle Sessions der betroffenen User gelöscht werden. Dadurch sind die entwendeten Informationen für den Hacker augenblicklich wert- und nutzlos. Die User wiederum müssen sich lediglich neu einloggen.

Seit Januar 2023 konnte Atlassian Maßnahmen im Hinblick auf mehr als 25.000 Session-Cookies ergreifen, die bei Datenpannen von Drittanbietern gefunden wurden. Der Prozess zur Sammlung und Handhabung solcher Informationen ist automatisiert.

Was Kunden beim Management von Sessions tun können

Atlassian bietet Admins diverse Kontrollen, um Sessions zu managen. Mehrere neue Features helfen, Session-Cookie-Diebstahl zu bekämpfen. User auf Kundenseite können ihre Passwörter wie gewohnt via "Manage Profile" ändern. Doch nun loggt diese Aktion den Nutzer aus der aktiven Session aus, die zur Änderung des Passworts genutzt wurde. Cloud-Kunden können ein neues Passwort in der Security-Sektion der Account-Einstellungen konfigurieren.

Atlassian Cloud Account Settings

Wenn ein Kunde sein Passwort vergisst, kann er den Link "Can’t log in?" auf dem Anmeldebildschirm nutzen, um sein Passwort zurückzusetzen. Damit werden automatisch alle aktiven Sessions unwirksam.

Atlassian Cloud Password Reset

Kunden können ihre aktiven Sessions über ihre verwendeten Geräte hinweg jederzeit einsehen, indem sie in der Security-Sektion der Account-Einstellungen auf "Recent Devices" klicken.

Organisations-Administratoren haben die Option, den Session-Timeout bei Inaktivität in den Admin-Einstellungen zu konfigurieren. Von der Admin-Konsole aus ist es außerdem möglich, alle Sessions für die konfigurierte Authentifizierungs-Policy zurückzusetzen. Dadurch werden sämtliche Mitglieder der Policy innerhalb von zehn Minuten ausgeloggt.

Atlassian-ID-Accounts absichern

Aus der Sicherheitsperspektive ist es auf jeden Fall sinnvoll, die Multi-Faktor-Authentisierung (MFA) für Atlassian-Cloud-User zu aktivieren. Dabei handelt es sich um einen Login-Prozess, der mehr Schritte als nur die Passworteingabe umfasst.

Beispielsweise müssen User zusätzlich einen Code eingeben, der von einer mobilen App auf dem Smartphone generiert wird. Im relevanten Abschnitt der Atlassian-Doku ist Schritt für Schritt erklärt, wie die MFA eingerichtet wird. Sie bietet definitiv zusätzlichen Schutz.

Die Fähigkeit, Sessions auf angemessene und wirksame Weise zu managen, ist ein nützliches Werkzeug im Hinblick auf die tiefergehenden Sicherheitsstrategien der Organisation. Atlassian nimmt Sicherheitsfragen sehr ernst und arbeitet intensiv daran, mit den Bedrohungsentwicklungen Schritt zu halten. Durch die Implementierung des Monitorings von Session-Cookies in der Cyber-Unterwelt greift der Hersteller einen weiteren Gefahrentrend auf und sorgt dafür, dass neue Bedrohungen möglichst minimiert werden.

Die Zukunft für Atlassian-Kunden liegt in der Cloud

Atlassian stellt im Februar 2024 den Support für seine Server-Produkte ein. Nutze daher die verbleibende Zeit und informiere dich über einen Umzug in die Cloud. Oder noch besser: Probiere sie ganz einfach aus: Mit unserem Cloud Migration Trial kannst du Atlassian Cloud selbst testen und erste Erfahrungen sammeln, ohne dein bestehendes Produktivsystem zu beeinträchtigen.

Steht deine Entscheidung für die Cloud schon fest und du möchtest nun herausfinden, ob dein Unternehmen bereit für einen Umstieg ist? Dann empfehlen wir dir, dich durch unser kurzes Cloud-Quiz zu klicken: In nur elf Fragen stellt sich heraus, ob und wie "migrationsreif" deine Organisation ist! Zudem lohnt es sich, sich schon im Vorfeld einer Migration über das Thema "Datenschutz in der Cloud" zu informieren. Gemeinsam mit dem Datenschutz-Experten Thomas Rosin haben wir dir hier einige Informationen sowie einen praktischen Flugplan mit allen Schritten zusammengestellt.

Weiterführende Infos

Sieben Sicherheitspraktiken für moderne Cloud-Software, die nicht verhandelbar sind
Atlassian Cloud und das Identitäts- und Zugriffsmanagement
Skalierte Sicherheit durch das Mobile Application Management für Atlassian Cloud
Atlassian Cloud und die Sicherung der Cloud-Architektur

didit checklists for Atlassian Cloud. Präzision, Effizienz, Erfolg. Alles abgehakt. didit checklists for Atlassian Cloud. Präzision, Effizienz, Erfolg. Alles abgehakt. didit checklists for Atlassian Cloud. Präzision, Effizienz, Erfolg. Alles abgehakt.