Çalışanın Google Hesabına Bağlı Okta İhlali 134 Müşteriyi Etkiledi

   Kasım 6, 2023  Posted in HackRead


Okta’nın soruşturması, ihlalin şirket çalışanlarından birine ait bir Google hesabıyla ilişkili olduğunu belirledi.

Önde gelen kimlik ve erişim yönetimi (IAM) sağlayıcısı Okta, Ekim 2023’te yapılan ilk veri ihlali duyurusunun ardından yakın zamanda yapılan bir güncellemede, etkilenen müşteri sayısının 134’e ulaştığını açıkladı. Bu ihlal, tehdit aktörlerinin Dosyalar.

Okta’nın güvenlik şefi David Bradbury, 4 Kasım Cuma günkü güncellemede “Bu dosyalardan bazıları, oturum ele geçirme saldırıları için kullanılabilecek oturum belirteçleri içeren HAR dosyalarıydı” dedi.

28 Eylül ile 17 Ekim 2023 tarihleri ​​arasında Okta, bir tehdit aktörünün çalınan bir hesabı ele geçirerek Okta’nın destek vaka yönetimi sistemine eriştiği karmaşık bir saldırıyla karşılaştı. Daha sonra tehdit aktörü, destek yazışmalarını görüntüleme, güncelleme ve oturum belirteçleri de dahil olmak üzere hassas verileri çıkarma becerisine sahip oldu.

19 Ekim’de Okta, müşterilerinden biri olan BeyondTrust’un şüpheli faaliyetlere ilişkin bir bildirimi sonrasında ihlalden haberdar oldu. İhlalden etkilenen öne çıkan müşteriler arasında Cloudflare ve 1Password yer alıyor. 1Password’ün CTO’su Pedro Canahuati, olayı açıklayarak tehdit aktörlerinin saldırı sırasında kullanıcı verilerine erişemediğini veya kullanıcı verilerine erişemediğini doğruladı.

Google Hesabı Bağlantısı

Başlangıçta olayın, bir tehdit aktörünün çalınan bir kimlik bilgisinden yararlanarak bir BT çalışanının Okta oturum belirtecine erişmesi ve böylece 1Password’ün Okta yönetim portalına giriş yapmasıyla meydana geldiği düşünülüyordu. Ancak Bradbury daha sonra soruşturmanın ihlalin şirket çalışanlarından birine ait bir Google hesabıyla ilişkili olduğunu belirlediğini açıkladı.

Bradbury, “Okta Security, bir çalışanın Okta tarafından yönetilen dizüstü bilgisayarının Chrome tarayıcısında kişisel Google profilinde oturum açtığını tespit etti” dedi. “Hizmet hesabının kullanıcı adı ve şifresi çalışanın kişisel Google hesabına kaydedilmişti. Bu kimlik bilgilerinin açığa çıkmasının en muhtemel yolu, çalışanın kişisel Google hesabının veya kişisel cihazının ele geçirilmesidir.”

Okta’nın sorunu çözmesinin neden iki hafta sürdüğü konusunda Bradbury ayrıca “Okta’nın sistem günlüklerinde herhangi bir şüpheli indirme bulamadığını” açıkladı. Birisi bir destek vakasına ekli dosyalara baktığında günlüklerinde özel bir kayıt bulunduğunu belirttiler. Ancak bir kişi doğrudan müşteri destek sistemindeki Dosyalar bölümüne giderse farklı bir kayıt oluşturur. Saldırganlar saldırılarında bu yöntemi kullandı.

“Okta önce destek vakalarına erişimi inceledi, ardından bu vakalarla ilgili günlükleri kontrol etti. 13 Ekim 2023’te BeyondTrust, Okta Security’ye saldırganlarla bağlantılı bir IP adresi verdi. Bu bilgiyle Okta, ele geçirilen hesaba bağlı daha fazla dosya erişim olayı buldu” dedi Bradbury.

Astrix Security Araştırma Ekibi Lideri Tal Skverer, Hackread.com’a yaptığı bir yorumda, şirket tarafından verilen cihazlarda kişisel hesapların kullanımını ele aldı ve şunları söyledi: “Hizmet hesapları, MFA gibi normal hesapların tabi olduğu güvenlik önlemlerini atlıyor, bu nedenle ; kimlik bilgileri son derece savunmasızdır.

“Hizmet hesaplarının en az ayrıcalık ilkesine uyması büyük önem taşıyor. Skverer vurguladı. “İzinlerini sınırlamak için kullanımları çok benzersiz işlevlerle sınırlandırılmalıdır.”

Okta, Fortune 500 şirketleri ve devlet kurumları da dahil olmak üzere birçok kuruluş için güvenilir bir IAM sağlayıcısı olduğundan, Okta ihlali siber güvenlik topluluğu için büyük bir endişe kaynağıdır. Bu ihlal aynı zamanda tehdit aktörlerinin artan karmaşıklığını ve kuruluşların verilerini giderek hedeflenen saldırılara karşı korumak için adımlar atması ihtiyacını da vurguluyor.

Bununla birlikte Okta’daki son güvenlik ihlali, şirkete yönelik ikinci siber saldırı niteliği taşıyor. Mart 2022’de LAPSUS$ bilgisayar korsanları, Telegram’daki verilerinin büyük bir kısmını sızdırdıktan sonra Okta ve Microsoft’a erişim sağladıklarını iddia etti.

Kuruluşlar Kendilerini Korumak İçin Ne Yapabilir?

Kuruluşlar kendilerini korumak için aşağıdakiler de dahil olmak üzere çeşitli adımlar atabilir:

  • Güçlü parola politikaları uygulayın ve kullanıcıların çok faktörlü kimlik doğrulama (MFA) kullanmasını zorunlu kılın. MFA, kullanıcıların şifrelerine ek olarak telefonlarından bir kod gibi ikinci bir kimlik doğrulama biçimi sağlamalarını zorunlu kılarak kullanıcı hesaplarına ekstra bir güvenlik katmanı ekler.
  • Güvenlik yazılımını ve yamalarını düzenli olarak güncelleyin. Yazılım geliştiricileri bilinen güvenlik açıklarını düzeltmek için güvenlik güncellemeleri yayınlar. Kuruluşlar, yazılımlarını ve yamalarını düzenli olarak güncelleyerek saldırganların istismarına uğrama riskini azaltmaya yardımcı olabilir.
  • Çalışanlarınızı siber güvenlikle ilgili en iyi uygulamalar konusunda eğitin. Çalışanlara, kimlik avı saldırılarını nasıl belirleyip önleyecekleri ve cihazlarını ve verilerini nasıl koruyacakları konusunda eğitim verilmelidir.
  • Şüpheli faaliyetlere karşı sistemlerini izleyin. Kuruluşların, olağandışı oturum açma girişimleri veya veri sızıntısı gibi şüpheli etkinliklere karşı sistemlerini izleyecek sistemlere sahip olması gerekir.
  1. IBM, Janssen CarePath Müşterilerine Veri İhlalini Bildirdi
  2. İnsan Hatası: Casio ClassPad Veri İhlali 148 Ülkeyi Etkiliyor
  3. MOVEit Aracılığıyla Sony Veri İhlali Güvenlik Açığı ABD’de Binlerce Kişiyi Etkiliyor
  4. Sahte Bitwarden Şifre Yöneticisi Web Sitesi Windows ZenRAT’ı Bırakıyor
  5. Kroll SIM Değiştirme Saldırısı En İyi 3 Kripto Firmasında Veri İhlaline Neden Oldu
  6. Kaspersky Password Manager’ın parolaları kaba kuvvet saldırısına maruz kaldı





Source link