OktaKrebsOnSecurity’nin edindiği bilgiye göre, binlerce işletmeye çok faktörlü kimlik doğrulama ve tek oturum açma gibi kimlik araçları sağlayan bir şirket, müşteri destek biriminin güvenliğinin ihlal edilmesini içeren bir güvenlik ihlali yaşadı. Okta, olayın “çok az sayıda” müşteriyi etkilediğini söylüyor ancak görünen o ki sorumlu bilgisayar korsanları, şirket izinsiz girişi tamamen kontrol altına almadan önce en az iki hafta boyunca Okta’nın destek platformuna erişime sahipti.
19 Ekim’de açıklanmayan sayıda müşteriye gönderilen bir danışma belgesinde Okta, “Okta’nın destek vaka yönetimi sistemine erişmek için çalınan bir kimlik bilgilerine erişimden yararlanan düşmanca bir faaliyet tespit ettiğini” söyledi. Tehdit aktörü, son destek vakalarının bir parçası olarak belirli Okta müşterileri tarafından yüklenen dosyaları görüntüleyebildi.”
Okta, müşterilerle ilgili sorunları giderirken genellikle bir Web tarayıcısı oturumunun (diğer bir deyişle HTTP Arşivi veya HAR dosyası) kaydedilmesini isteyeceğini açıkladı. Bunlar hassas dosyalardır çünkü bu durumda, davetsiz misafirlerin daha sonra geçerli kullanıcıların kimliğine bürünmek için kullanabileceği müşterinin çerezlerini ve oturum belirteçlerini içerirler.
Bildirimleri şöyle devam etti: “Okta, etkilenen müşterilerle araştırma yapmak için çalıştı ve müşterilerimizi korumak için yerleşik oturum belirteçlerinin iptali de dahil olmak üzere önlemler aldı.” “Genel olarak Okta, bir HAR dosyasını paylaşmadan önce içindeki tüm kimlik bilgilerinin ve çerezlerin/oturum belirteçlerinin temizlenmesini önerir.”
Güvenlik firması BeyondTrust Perşembe günü Okta’dan uyarı alan Okta müşterileri arasında yer alıyor. BeyondTrust CEO’su Marc Maiffret bu uyarının, şirketinin Okta’yı potansiyel bir sorun konusunda uyarmasından iki haftadan fazla bir süre sonra geldiğini söyledi.
Maiffret, BeyondTrust’un bu ayın başlarında saldırıyı gerçekleşirken yakaladığını ve kendi müşterilerinin hiçbirinin etkilenmediğini vurguladı. 2 Ekim’de BeyondTrust’un güvenlik ekibinin, birisinin mühendislerinden birine atanan Okta hesabını kullanarak Okta ortamında çok güçlü bir yönetici hesabı oluşturmaya çalıştığını tespit ettiğini söyledi.
BeyondTrust, yeni idari profili oluşturmaya çalışan çalışan hesabının etkinliğini incelediğinde, izinsiz etkinlikten yalnızca 30 dakika önce, destek mühendislerinden birinin, geçerli bir Okta oturumu içeren bu HAR dosyalarından birini Okta ile paylaştığını buldu. jeton, dedi Maiffret.
“Yöneticimiz bunu gönderdi [HAR file] Okta’nın isteği üzerine saldırgan, oturumu ele geçirmeye başladı, tarayıcı oturumunu yeniden oynatmaya çalıştı ve o kullanıcı adına hareket etmek için tarayıcı kaydındaki çerezden yararlanmaya çalıştı” dedi.
Maiffret, BeyondTrust’un 3 Ekim’de Okta’yı takip ettiğini ve Okta’nın bir izinsiz girişe maruz kaldığından oldukça emin olduklarını söyledi ve bu sonucunu Okta ile 11 Ekim ve 13 Ekim’de yaptığı telefon görüşmesinde yineledi.
Okta’nın Bilgi Güvenliği Başkan Yardımcısı KrebsOnSecurity ile röportajda Charlotte Wylie Okta, başlangıçta BeyondTrust’un 2 Ekim’deki uyarısının sistemlerinde bir ihlalin sonucu olmadığına inandığını söyledi. Ancak 17 Ekim’e kadar şirketin olayı tespit edip kontrol altına aldığını, ele geçirilen müşteri vaka yönetimi hesabının devre dışı bırakıldığını ve bu hesapla ilişkili Okta erişim belirteçlerinin geçersiz kılındığını söyledi.
Wylie, tam olarak kaç müşterinin potansiyel bir güvenlik sorunuyla ilgili uyarı aldığını söylemeyi reddetti ancak bunu 18.000’den fazla müşterisinin “çok çok küçük bir alt kümesi” olarak nitelendirdi.
Okta’nın açıklaması kumarhane devlerinden sadece birkaç hafta sonra geldi Sezar’ın Eğlencesi Ve MGM Tatil Köyleri hacklendiler. Her iki durumda da saldırganlar, sosyal mühendislik çalışanlarının Okta yönetici hesapları için çok faktörlü oturum açma gereksinimlerini sıfırlamayı başardı.
Mart 2022’de Okta, hedef şirketlerdeki sosyal mühendislik çalışanları konusunda uzmanlaşmış bir suç korsanlığı grubu olan LAPSUS$ hack grubundan bir ihlal olduğunu açıkladı. Okta’nın bu olayla ilgili bir eylem sonrası raporu, LAPSUS$’ın, Okta kaynaklarına erişimi olan üçüncü taraf bir dış kaynak şirketi olan Sitel’deki bir destek mühendisinin iş istasyonuna sosyal mühendislik yoluyla ulaştığını ortaya çıkardı.
Okta’dan Wylie, davetsiz misafirin şirketin vaka yönetimi hesabına ne kadar süreyle erişebildiği veya saldırıdan kimin sorumlu olabileceği hakkındaki soruları yanıtlamayı reddetti. Ancak şirketin bunun daha önce gördükleri bir rakip olduğuna inandığını söyledi.
Wylie, “Bu, bizi ve Okta’ya özgü müşterileri hedef aldığına inandığımız bilinen bir tehdit aktörüdür” dedi.
Güncelleme, 14:57 ET: Okta, bu olay hakkında müşterilerin etkilenip etkilenmediklerini görmek için kullanabilecekleri bazı “uzlaşma göstergeleri” içeren bir blog yazısı yayınladı. Ancak şirket, “bundan etkilenen tüm müşterilerin bilgilendirildiğini” vurguladı. Okta müşterisiyseniz ve başka bir mesaj veya yöntemle sizinle iletişime geçilmediyse Okta ortamınız veya destek biletleriniz bundan etkilenmez.”
Bu hızla ilerleyen bir hikaye. Güncellemeler burada not edilecek ve zaman damgası eklenecektir.