L'abuso di account cloud è l'uso non autorizzato di identità cloud, token API, account di servizio o autorizzazioni delegate per accedere a dati e sistemi. Invece di violare direttamente un server, un attaccante accede come un utente cloud o un carico di lavoro legittimo e si muove tra app SaaS, archiviazione, email o console di amministrazione con credenziali valide.
Questo è importante perché le piattaforme cloud si fidano delle identità autenticate per impostazione predefinita. Se un attaccante ruba una password, un token di sessione, una concessione OAuth o una chiave API obsoleta, può leggere la posta, copiare file, creare nuovi percorsi di accesso o modificare le impostazioni di sicurezza senza attivare evidenti avvisi di malware. I difensori riducono questo rischio con l'autenticazione a più fattori, il principio del privilegio minimo, la rotazione dei token, l'inventario dei segreti, l'accesso condizionale e la registrazione di accessi anomali, modifiche ai privilegi e attività di esportazione dei dati. Nelle intrusioni reali, l'abuso di account cloud è spesso il ponte tra il compromesso iniziale e il furto di dati.