Okta, geçen ay müşteri destek sistemini ihlal eden saldırganların 134 müşteriye ait dosyalara erişim sağladığını, bunlardan beşinin daha sonra çalınan oturum tokenları yardımıyla oturum ele geçirme saldırılarının hedefi olduğunu söyledi.
Okta, “28 Eylül 2023’ten 17 Ekim 2023’e kadar bir tehdit aktörü, Okta’nın müşteri destek sistemi içindeki 134 Okta müşterisiyle veya Okta müşterilerinin %1’inden azıyla ilişkili dosyalara yetkisiz erişim elde etti” dedi.
“Bu dosyalardan bazıları, oturum ele geçirme saldırıları için kullanılabilecek oturum belirteçleri içeren HAR dosyalarıydı. Tehdit aktörü, bu oturum belirteçlerini, 3’ü kendi oturumunu paylaşan 5 müşterinin meşru Okta oturumlarını ele geçirmek için kullanabildi. Bu olaya tepki.”
Şirketin Ekim ayı güvenlik ihlali nedeniyle hedef alındıklarını açıklayan üç Okta müşterisi 1Password, BeyondTrust ve Cloudflare’dir. Hepsi, kurum içi Okta yönetici hesaplarına yetkisiz giriş yapma girişimlerini tespit ettikten sonra şüpheli aktiviteyi Okta’ya bildirdi.
29 Eylül’de oturum ele geçirme girişimleri konusunda uyarılmasına rağmen Okta’nın, etkilenen üç müşteriyle yaptığı çok sayıda toplantının ardından destek sistemindeki ihlali resmi olarak onaylaması iki haftadan fazla zaman aldı.
Tehdit aktörleri, Okta’nın destek sistemini ihlal etmek için, Okta tarafından yönetilen bir dizüstü bilgisayar kullanarak kişisel Google profiline giriş yapan bir çalışanın kişisel Google hesabından çalınan bir destek hizmeti hesabının kimlik bilgilerini kullandı.
Okta, saldırganların hizmet hesabı kimlik bilgilerini nasıl çaldığını paylaşmasa da şirket, “bu kimlik bilgilerinin açığa çıkmasının en olası yolu, çalışanın kişisel Google hesabının veya kişisel cihazının ele geçirilmesidir” dedi.
İhlale yanıt olarak Okta, gelecekte benzer olayları önlemek için, ele geçirilen hizmet hesabının devre dışı bırakılması, kişisel Google profillerinin Okta tarafından yönetilen cihazlarda Google Chrome ile kullanılmasının engellenmesi, müşterisi için ek algılama ve izleme kuralları dağıtılması da dahil olmak üzere çok sayıda önlem aldı. destek sistemi ve ağ konumuna göre Okta yönetici oturum belirteçlerinin bağlanması.
Okta, makalenin yayınlanmasının ardından şu açıklamayı BleepingComputer ile paylaştı.
Okta, BleepingComputer’a şunları söyledi: “Daha önce bildirdiğimiz destek sistemi güvenlik olayıyla ilgili soruşturma, bir tehdit aktörünün 134 Okta müşterisinin dosyalarına erişim sağladığını ortaya çıkardı.”
“Bulgularımızı tüm müşterilerimize bildirdik ve tüm müşterilerimizi korumak için iyileştirmeleri tamamladık. Kimlik sağlayıcıları olarak Okta’ya güvenen tüm müşterilerimizden özür dileriz”
Son iki yılda birden fazla hit
Bu haftanın başlarında Okta, yaklaşık 5.000 mevcut ve eski çalışanını, sağlık sigortası sağlayıcısı Rightway Healthcare’in 23 Eylül’de ihlal edilmesinin ardından kişisel bilgilerinin açığa çıktığı konusunda uyardı.
Bu üçüncü taraf ihlalinde açığa çıkan hassas bilgiler arasında çalışanların tam adları, sosyal güvenlik numaraları (SSN’ler) ve Sağlık veya Sağlık Sigortası plan numaraları yer alır.
Son iki yılda Okta, kimlik bilgileri hırsızlığı ve sosyal mühendislik saldırıları nedeniyle başka ihlallerle de karşılaştı.
Aralık 2022’de Okta, bilgisayar korsanlarının özel GitHub depolarında saklanan gizli kaynak kodu bilgilerine eriştiği bir güvenlik ihlalini kabul etti.
Lapsus$ gasp grubu daha önce Mart 2022’de benzer bir hack iddiasında bulunmuştu ve bu olay daha sonra Okta tarafından doğrulandı. İhlal, şirketin müşteri tabanının yaklaşık %2,5’ini etkiledi.
Okta’nın yan kuruluşu Auth0 ayrıca bazı eski kaynak kodu depolarının içeriklerinin bilinmeyen saldırganlar tarafından bilinmeyen bir yöntem kullanılarak çalındığını da açıkladı.
3/11/23: Okta’dan açıklama eklendi.