Popüler şifre yönetimi çözümü 1Password, 29 Eylül’de destek sistemi ihlalinin ardından Okta örneğinde şüpheli etkinlik tespit ettiğini söyledi ancak hiçbir kullanıcı verisine erişilmediğini yineledi.
1Password CTO’su Pedro Canahuati Pazartesi günü yaptığı açıklamada, “Etkinliği derhal sonlandırdık, araştırdık ve kullanıcı verilerinden veya diğer hassas sistemlerden, çalışanların veya kullanıcıların karşılaştığı hiçbir tehlikeye rastlamadık” dedi.
İhlalin, BT ekibinden bir üyenin Okta Destek ile bir HAR dosyası paylaşması ve tehdit aktörünün aşağıdaki eylemleri gerçekleştirmesi sonrasında bir oturum çerezi kullanılarak meydana geldiği söyleniyor:
- BT ekibi üyesinin kullanıcı kontrol paneline erişmeye çalıştı ancak Okta tarafından engellendi
- Üretim Google ortamımıza bağlı mevcut bir IDP güncellendi
- IDP’yi etkinleştirdi
- Yönetici kullanıcılardan rapor istendi
Şirket, BT ekibi üyesinin “istenen” yönetici kullanıcı raporu hakkında bir e-posta almasının ardından kötü niyetli faaliyet konusunda uyarıldığını söyledi.
1Password ayrıca, Okta dışındaki IDP’lerin girişlerini reddederek, yönetici kullanıcılar için oturum sürelerini azaltarak, yöneticiler için daha sıkı çok faktörlü kimlik doğrulama (MFA) kuralları ve süper yönetici sayısını azaltarak güvenliği artırmak için bir dizi adım attığını söyledi.
1Password, “Okta desteğiyle de doğrulanarak, bu olayın, tehdit aktörlerinin süper yönetici hesaplarını ele geçirdiği, ardından kimlik doğrulama akışlarını manipüle etmeye çalıştığı ve etkilenen kuruluş içindeki kullanıcıların kimliğine bürünmek için ikincil bir kimlik sağlayıcı kurduğu bilinen bir kampanyayla benzerlikleri paylaştığı tespit edildi.” dedi. .
Kimlik hizmetleri sağlayıcısının daha önce tehdit aktörleri tarafından yüksek yönetici izinleri elde etmek amacıyla düzenlenen sosyal mühendislik saldırıları konusunda uyarıda bulunduğunu belirtmekte fayda var.
Bu yazının yazıldığı an itibariyle, saldırıların, yüksek ayrıcalıklar elde etmek için sosyal mühendislik saldırıları kullanarak Okta’yı hedef alma konusunda bir geçmişi olan Scattered Spider (aka 0ktapus, Scatter Swine veya UNC3944) ile herhangi bir bağlantısı olup olmadığı şu anda bilinmiyor.
Bu gelişme, Okta’nın, kimliği belirsiz tehdit aktörlerinin, destek vaka yönetimi sistemine sızmak ve müşterilerinin ağlarına sızmak için kullanılabilecek hassas HAR dosyalarını çalmak için çalıntı bir kimlik bilgisinden yararlandığını ortaya çıkarmasından birkaç gün sonra geldi.
Şirket, Hacker News’e olayın müşteri tabanının yaklaşık yüzde 1’ini etkilediğini söyledi. Olaydan etkilenen diğer müşterilerden bazıları BeyondTrust ve Cloudflare’dir.
1Password, “Gördüğümüz faaliyet, daha karmaşık bir saldırı için bilgi toplamak amacıyla tespit edilmemek amacıyla ilk keşif yaptıklarını gösterdi.” dedi.