.jpg)
Şifre yöneticisi 1Password, Okta’nın son müşteri desteği ihlalinin kamuoyuna duyurulan ikinci kurbanı oldu ve haberi geçen hafta ortaya çıktı. Bu, son derece ayrıcalıklı Okta hesaplarına erişim sağlamayı amaçlayan bir dizi siber saldırının yalnızca sonuncusu.
Kurumsal kullanıcıları uygulamalar ve cihazlar arasında birbirine bağlayan bulut tabanlı, kurumsal düzeyde bir kimlik ve erişim yönetimi (IAM) hizmeti olan Okta, dünya çapında 17.000’den fazla müşteri tarafından kullanılıyor. Cuma günü, bir tehdit aktörünün müşteri desteği vaka yönetimi sistemine erişmek için çalıntı kimlik bilgilerini kullandığını açıkladı. Saldırgan daha sonra, son müşteri destek görüşmeleri aracılığıyla bu binlerce müşteriden bazılarına sızmak için erişimini kullandı.
1Password’da olan da buydu. Şirketten yapılan açıklamaya göre, 29 Eylül’de şifre yönetimi şirketi, çalışanlarına yönelik uygulamaları yönetmek için kullandığı Okta örneğinde şüpheli etkinlik gözlemledi. Faaliyet hızlı bir şekilde sonlandırıldı ve çalışanların uygulamalarına bulaşan istilanın boyutu ayrıntılı olarak belirtilmese de hiçbir kullanıcı veya çalışan verisinin veya diğer hassas sistemlerin tehlikeye atılmadığı belirtildi.
Daha fazla kurbanla ilgili haberler gelebilir. Okta Cuma günü, potansiyel olarak etkilenen diğer müşterileri bilgilendirdiğini yazdı.
Bu, çok fazla hassas bilgiye erişim imkanı sunduğu için siber suçluların popüler hedefi olmaya devam eden Okta’ya yapılan son saldırı. Ağustos ayında şirket, tehdit aktörlerinin sosyal mühendislik kullanarak BT masası personelini yüksek ayrıcalıklı Okta kurumsal hesapları için çok faktörlü kimlik doğrulamayı (MFA) sıfırlamaya ikna ederek yanal harekete kapıyı açtığı bir kampanyanın ayrıntılarını verdi.
Ve daha yeni, oldukça duyurulan MGM ve Caesar’s Palace fidye yazılımı olayları, Okta Agent’ın sosyal mühendislik yoluyla çökertilmesini içeriyordu ve bu da Vegas devlerinin derin enfeksiyonlara yol açmasına yol açtı.
Okta Müşteri Hizmetleri İhlalinin Profili
Okta’nın son ihlaline ilişkin ilk haber Okta tarafından değil, ayrı bir IAM güvenlik sağlayıcısı olan BeyondTrust tarafından sağlandı.
Şirket, 2 Ekim’de bir saldırganın BeyondTrust’un Okta yönetici hesabına erişim sağlamak için Okta’nın destek sisteminden çalınan geçerli bir oturum çerezini kullanmayı denediğini bildirdi.
“HAR istediler [HTTP archive] BeyondTrust’un araştırma direktörü James Maude, “bir e-postadaki dosya” diye anımsıyor ve bu HAR dosyasının içinde, saldırganın 30 dakika içinde destek sisteminden ele geçirdiği bir oturum belirteci vardı. Daha sonra kimlik doğrulaması yapmak ve kötü niyetli şeyler yapmaya başlamak için bu oturum belirtecini kullandılar.”
Saldırganın bu kadar hızlı saldırması gerekliydi, çünkü oturum belirteçlerinin süresi hızla doluyor ama aynı zamanda şüpheliydi. Maude, “Bu bizi meraklandıran şeylerden biriydi; birisinin oturup bu dosyaların yüklenmesini beklemesi” diyor.
Günlükler, saldırganın Malezya’daki bir VPN hizmeti aracılığıyla yönlendirilen bir IP adresinden ziyarette bulunduğunu ortaya çıkardı. Üç gün önceki 1Password gibi BeyondTrust da herhangi bir altyapı veya müşteri verisi zarar görmeden saldırıyı başarıyla sonlandırdığını söylüyor.
Etkilenen Müşterilerin (ve Diğer Herkesin) Yapması Gerekenler
Daha az etkili tespit ve müdahaleye sahip olan etkilenen müşteriler, kendilerini Okta’nın bildirilen ilk iki kurbanına göre çok daha fazla sorunla karşı karşıya bulabilir.
Maude, “En büyük risk, ele geçirildiklerini bile fark etmemeleridir” diye açıklıyor. “Saldırgan, hesap oluşturabileceği, kullanıcıları daha sonra kendi kontrolleri altında olan ayrıcalıklı gruplara ekleyebileceği bir ayrıcalık düzeyiyle kimliğini doğrulamak için jetonu kullanabilirse, o zaman bu, Okta ortamına etkili bir arka kapıdır. Bu ortama girebildiklerinde, bir kimlik sağlayıcı ekleyebiliyorlarsa, kuruluş içindeki diğer kullanıcıların kimliğine bürünerek Okta’nın tek oturum açma (SSO) aracılığıyla geçiş noktası olduğu uygulamalara ve diğer teknolojilere erişim sağlayabilirler. ).”
Şirketler, güvenilir müşteri hizmetleri temsilcileriyle bile veri paylaşmanın hassasiyetinin farkında olmalı ve en kötü senaryoya hazırlanmak için en hassas hesaplarını proaktif bir şekilde korumalıdır.
Maude sözlerini şöyle bitiriyor: “Destek portalı aracılığıyla olmasa bile, saldırganların Okta kullanıcılarının güvenliğini tehlikeye atmaya çalışacağı başka yollar da var. Kuruluşların, yönetici kullanıcıları içeren Okta kimlik doğrulama etkinliklerine ilişkin izlemelerini gerçekten artırmaları gerekiyor.”