Okta’nın geçen ay Yardım Merkezi ortamının ihlaline ilişkin araştırması, bilgisayar korsanlarının tüm müşteri destek sistemi kullanıcılarına ait verileri ele geçirdiğini ortaya çıkardı.
Şirket, tehdit aktörünün ayrıca tüm Okta sertifikalı kullanıcıların tüm iletişim bilgilerinin iletişim bilgilerini içeren ek raporlara ve destek vakalarına eriştiğini belirtiyor.
Kasım ayının başında şirket, bir tehdit aktörünün müşteri destek sistemindeki dosyalara yetkisiz erişim elde ettiğini ve ilk kanıtların sınırlı bir veri ihlaline işaret ettiğini açıkladı.
O dönemde ortaya çıkan ayrıntılara göre, bilgisayar korsanı, yasal kullanıcıların Okta oturumlarını ele geçirmek için kullanılabilecek, şirketin müşterilerinin %1’inden azı olan 134 müşteriye ait çerezler ve oturum belirteçleri içeren HAR dosyalarına erişti.
Saldırının daha ayrıntılı araştırılması, tehdit aktörünün aynı zamanda “tüm Okta müşteri destek sistemi kullanıcılarının adlarını ve e-posta adreslerini içeren bir rapor indirdiğini” ortaya çıkardı.
“FedRamp High ve DoD IL4 ortamlarımızdaki müşteriler hariç tüm Okta Workforce Identity Cloud (WIC) ve Customer Identity Solution (CIS) müşterileri etkilenmektedir (bu ortamlar, tehdit aktörü tarafından ERİŞİLMEYEN ayrı bir destek sistemi kullanır). Auth0/CIC desteği vaka yönetimi sistemi de bu olaydan etkilenmedi” – Okta
Şirkete göre çalınan raporda tam ad, kullanıcı adı, e-posta, şirket adı, kullanıcı türü, adres, son şifre değişikliği/sıfırlama, rol, telefon numarası, cep telefonu numarası, saat dilimi ve SAML Federasyon Kimliği gibi alanlar yer alıyordu.
Ancak Okta, raporda listelenen kullanıcıların %99,6’sı için mevcut iletişim bilgilerinin yalnızca tam ad ve e-posta adresi olduğunu açıklıyor. Ayrıca şirket, hiçbir kimlik bilgilerinin ifşa edilmediğine dair güvence verdi.
Okta’nın açıklamasında, açığa çıkan kullanıcıların çoğunun yönetici olduğu ve bunların %6’sının yetkisiz oturum açma girişimlerine karşı çok faktörlü kimlik doğrulama savunmasını etkinleştirmediği belirtiliyor.
Şirket, davetsiz misafirlerin Okta çalışan ayrıntılarının yanı sıra “Okta sertifikalı kullanıcılar ve bazı Okta Müşteri Kimlik Bulutu (CIC) müşteri bağlantılarından” gelen verilere de eriştiğini belirtiyor.
“Ayrıca, tehdit aktörünün eriştiği, tüm Okta sertifikalı kullanıcıların ve bazı Okta Müşteri Kimlik Bulutu (CIC) müşteri iletişim bilgilerinin ve diğer bilgilerin iletişim bilgilerini içeren ek raporlar ve destek vakaları belirledik. Bu raporlarda bazı Okta çalışan bilgileri de yer alıyordu. . Bu iletişim bilgileri, kullanıcı kimlik bilgilerini veya hassas kişisel verileri içermez” – Okta
Çoğu zaman isimler ve e-postalar, bir tehdit aktörünün, keşif aşamalarında işine yarayacak veya daha karmaşık bir saldırı hazırlamak için daha fazla ayrıntı elde etmesine yardımcı olabilecek kimlik avı veya sosyal mühendislik saldırıları başlatması için yeterlidir.
Potansiyel saldırılara karşı korunmak için Okta aşağıdakileri önermektedir:
- Tercihen Okta Verify FastPass, FIDO2 WebAuthn veya PIV/CAC Akıllı Kartlar gibi kimlik avına karşı dayanıklı yöntemleri kullanarak yönetici erişimi için MFA’yı uygulayın.
- Yeni IP adreslerinden yönetici oturumları için yeniden kimlik doğrulama gerektirmek üzere yönetici oturumu bağlamayı etkinleştirin.
- Yönetici oturumu zaman aşımlarını, NIST yönergelerine göre 15 dakikalık boşta kalma süresiyle maksimum 12 saate ayarlayın.
- Kimlik avı girişimlerine karşı dikkatli kalarak ve özellikle yüksek riskli eylemler için BT Yardım Masası doğrulama süreçlerini güçlendirerek kimlik avı farkındalığını artırın.
Okta, geçtiğimiz Aralık ayında bilgisayar korsanlarının şirketin özel GitHub depolarındaki kaynak koduna erişmesi nedeniyle son iki yıldır kimlik bilgileri hırsızlığının ve sosyal mühendislik saldırılarının hedefi oldu.
Ocak 2022’de bilgisayar korsanları, müşteriler için şifre sıfırlama işlemini başlatma ayrıcalıklarına sahip bir Okta destek mühendisinin dizüstü bilgisayarına erişim sağladı. Olay, şirketin müşteri tabanının %2,5’ini temsil eden yaklaşık 375 müşteriyi etkiledi.
Lapsus$ gasp grubu saldırıyı üstlendi ve Okta.com’a “süper kullanıcı/yönetici” erişimine sahip olduklarını ve müşteri verilerine erişebildiklerini gösteren ekran görüntülerini sızdırdı.