Kimlik bilgisi yönetimi yazılımı tedarikçisi 1Password, kimlik ve erişim yönetimi (IAM) uzmanı Okta’nın teknik destek sistemlerinde BeyondTrust ve Cloudflare’i etkileyen aynı ihlale yakalandığını açıkladı.
1Password baş teknoloji sorumlusu (CTO) Pedro Canahuati, firmanın 29 Eylül 2023’te çalışanlara yönelik uygulamaları yönetmek için kullandığı Okta kiracısında şüpheli etkinlik tespit ettiğini, bunun ardından BT ekibinden bir üyenin kendisine bir işlem gerçekleştirdiğini bildiren beklenmedik bir e-posta bildirimi aldığını söyledi. Okta kiracısında yapmadıkları eylem.
Canahuati, “Etkinliği derhal sonlandırdık, araştırdık ve ne çalışanların karşılaştığı ne de kullanıcıların karşılaştığı kullanıcı verilerinden veya diğer hassas sistemlerden herhangi bir ödün bulamadık” dedi.
“O zamandan beri Okta ile uzlaşmanın ilk vektörünü belirlemek için çalışıyoruz. Cuma günü geç saatlerde [20 October 2023]Bunun Okta’nın Destek Sistemi ihlalinin bir sonucu olduğunu doğruladık.”
1Password, ayrıntılı olay raporunda, ilk başta ihlalin ekip üyesinin bir konferansta otelin Wi-Fi ağını kullanırken dizüstü bilgisayarına erişilmesinden kaynaklandığını düşündüğünü ancak şimdi ihlalin şu anda ortaya çıktığını ortaya çıkardı: BeyondTrust ve Cloudflare’i etkileyen olaylarla aynı şekilde.
Ekip üyesi daha önce bir Okta teknik destek temsilcisiyle görüşmüştü ve onların isteği üzerine Chrome Geliştirme Araçları’ndan bir HTTP arşivi (HAR) dosyası oluşturup bunu Okta’nın destek portalına yüklemişti.
Bu dosya, oturum çerezleri de dahil olmak üzere tarayıcı ile Okta sunucuları arasındaki tüm trafiğin kaydını içeriyordu. Tehdit aktörü bunları 1Password ekip üyesinin kullanıcı kontrol paneline erişmeye çalışmak için kullandı; bu engellendi, 1Password’ün Google üretim ortamına bağlı mevcut bir kimlik sağlayıcısını (IDP) güncelleyip etkinleştirdi ve yönetici kullanıcılara ilişkin verileri içeren bir rapor talep etti.
Okta’nın ekip üyesini uzlaşma konusunda uyaran e-posta bildirimini tetikleyen de bu son eylemdi.
1Password, tehdit aktörünün Okta kiracısı dışında herhangi bir sisteme eriştiğine dair bir belirti bulunmadığı konusunda ısrar etti ve saldırganın daha ayrıntılı bir siber saldırı gerçekleştirmeden önceki ilk keşif aşamasını aşamadığını öne sürdü.
Ancak bu olayı düzeltmek için aldığı önlemlerin acil riski azalttığını ancak “öncelik vereceğimiz bir dizi güvenlik iyileştirmesinin” altını çizdiğini belirtti.
“Güveniniz bizim için her şeyden önemlidir. Sistemlerimiz ve politikalarımız bu saldırıyı tespit edip sonlandırabildi; sizi ve verilerinizi güvende tutmak için güvenlik önlemlerimizi sürekli olarak geliştiriyoruz” dedi Canahuati.
Okta müşterilerinin başına gelen son olay, başta kurbanlar olmak üzere tüm sektörde ve kimlik ve kimlik bilgileri dünyasında payı olan tüm bilgi güvenliği şirketlerinde endişelere yol açtı.
Özellikle BeyondTrust, eleştirilerinde açık sözlü davrandı; Okta’nın soruna yavaş yanıt vermesinden yakındı ve tedarikçinin sorumluluk almakta isteksiz olduğunu iddia etti.
Tehdit tespiti ve hafifletme alanında uzman olan Panther Labs’ın bilgi güvenliği sorumlusu (CISO) saha şefi Ken Westin şunları söyledi: “Okta, saldırganlar için birincil hedeftir ve sistemlerini tehlikeye atarak müşterilerinin altyapısına erişim elde etmeye çalışırlar. ve veriler.
“1Password’e geçiş, kuruluşların Okta günlüklerinin yanı sıra diğer kimlik ve şifre uygulamalarını da izlediklerinden emin olmaları için bir uyandırma çağrısı olmalıdır.”