KrebsOnSecurity 20 Ekim 2023’te haberi verdiğinde kimlik ve kimlik doğrulama devi Okta Müşteri destek departmanında bir ihlal yaşandığını belirten Okta, saldırının bilgisayar korsanlarının 18.000’den fazla müşterisinin yüzde birinden daha azının hassas verilerini çalmasına olanak sağladığını söyledi. Ancak bugün Okta, saldırganların neredeyse tüm müşteri destek kullanıcılarının adını ve e-posta adresini çaldığını söyleyerek bu etki beyanını revize etti.
Okta, geçen ay, Eylül 2023’ün sonlarından itibaren birkaç hafta boyunca davetsiz misafirlerin müşteri desteği vaka yönetimi sistemine erişim sağladığını kabul etti. Bu erişim, bilgisayar korsanlarının bazı Okta müşterilerinden kimlik doğrulama belirteçlerini çalmasına olanak tanıdı; saldırganlar daha sonra bunları müşteri hesaplarında yetkili kullanıcıları eklemek veya değiştirmek gibi değişiklikler yapmak için kullanabilirler.
İhlalle ilgili ilk olay raporlarında Okta, bilgisayar korsanlarının Okta’nın müşteri destek sistemi içindeki 134 Okta müşterisiyle veya Okta’nın müşteri tabanının %1’inden azıyla ilişkili dosyalara yetkisiz erişim elde ettiğini söyledi.
Ancak bu sabah erken saatlerde yayınlanan güncellenmiş bir açıklamada Okta, davetsiz misafirlerin aynı zamanda tüm Okta müşteri destek sistemi kullanıcılarının adlarını ve e-posta adreslerini de çaldığını belirlediğini söyledi.
Okta’nın tavsiye niteliğindeki açıklamasında “FedRamp High ve DoD IL4 ortamlarımızdaki müşteriler (bu ortamlar, tehdit aktörü tarafından erişilmeyen ayrı bir destek sistemi kullanır) dışındaki tüm Okta Workforce Identity Cloud (WIC) ve Müşteri Kimlik Çözümü (CIS) müşterileri etkilenmektedir” ifadeleri yer alıyor. “Auth0/CIC destek vaka yönetimi sistemi de bu olaydan etkilenmedi.”
Okta, kullanıcıların neredeyse yüzde 97’si için açığa çıkan tek iletişim bilgilerinin tam ad ve e-posta adresi olduğunu söyledi. Bu, Okta müşteri destek hesaplarının yaklaşık yüzde üçünün aşağıdaki veri alanlarından bir veya daha fazlasının açığa çıktığı anlamına gelir (e-posta adresi ve ismin yanı sıra): son giriş; Kullanıcı adı; telefon numarası; SAML federasyon kimliği; Firma Adı; iş rolü; Kullanıcı tipi; son şifre değiştirme veya sıfırlama tarihi.
Okta, açığa çıkan hesapların büyük bir kısmının Okta yöneticilerine (Okta’nın kimlik doğrulama teknolojisini müşteri ortamlarına entegre etmekten sorumlu BT çalışanları) ait olduğunu ve bu kişilerin hedefli kimlik avı saldırılarına karşı tetikte olması gerektiğini belirtiyor.
Okta, “Müşteri destek sisteminin birçok kullanıcısı Okta yöneticileridir” dedi. “Bu kullanıcıların yalnızca müşteri destek sistemini korumak için değil aynı zamanda Okta yönetici konsollarına erişimi güvenli hale getirmek için çok faktörlü kimlik doğrulamaya (MFA) kaydolmaları kritik önem taşıyor.”
Okta, bazı şirketlerin BT personelinin MFA ile korunmayan bir Okta yönetici hesabı kullanarak şirket çapında kimlik doğrulama sistemlerini çalıştırmasına izin vermesinin tamamen çılgınca görünebileceğini söyledi. müşterilerinin tam olarak yüzde altısı (1.000’den fazla) bu tehlikeli uygulamaya devam ediyor.
3 Kasım’da daha önce yapılan bir açıklamada Okta, izinsiz girişten, Okta’nın müşteri destek altyapısındaki bir hizmet hesabının kimlik bilgilerini kişisel Google hesabına kaydeden bir çalışanı sorumlu tuttu ve bu kimlik bilgilerinin, çalışanın kişisel cihazı Google hesabını kullanırken çalınmış olabileceğini söyledi. aynı Google hesabının güvenliği ihlal edildi.
İnsanlar tarafından erişilen standart kullanıcı hesaplarının aksine, hizmet hesapları çoğunlukla her gece belirli bir saatte veri yedekleme veya antivirüs taramaları gerçekleştirmek gibi makineler arası işlevlerin otomatikleştirilmesi için ayrılmıştır. Bu nedenle kullanıcı hesaplarının yaptığı gibi çok faktörlü kimlik doğrulamayla kilitlenemezler.
Ars Technica’dan Dan Goodin, bunun MFA’nın neden ele geçirilen Okta hizmet hesabında kurulmadığını açıkladığını düşünüyor. Ancak kendisinin de haklı olarak işaret ettiği gibi, eğer tek bir çalışanın yaptığı bir ihlal ağınızı ihlal ediyorsa, bunu yanlış yapıyorsunuz demektir.
Goodin 4 Kasım’da şunları yazdı: “Okta, hizmet hesabına kimin veya neyin giriş yapabileceğini sınırlamak için basit bir şifrenin yanı sıra erişim kontrollerini de uygulamaya koymalıydı.” “Bunu yapmanın bir yolu, IP’ye bir sınır veya koşullar koymaktır.” bağlanabilecek adresler. Bir diğeri, hizmet hesaplarında kimlik doğrulaması yapmak için kullanılan erişim belirteçlerini düzenli olarak dönüşümlü kullanmaktır. Ve tabii ki çalışanların iş makinesindeki kişisel hesaplara giriş yapması imkansız olmalıydı. Bu ve diğer önlemler Okta’daki üst düzey kişilerin sorumluluğundadır.”
Goodin, hizmet hesaplarını güvence altına almak için çeşitli yaklaşımları daha ayrıntılı olarak incelemek isteyenlerin Mastodon’daki bu konuyu okuması gerektiğini önerdi.
Goodin, “Katkıların önemli bir kısmı, hassas bulut ortamlarında çalışma konusunda geniş deneyime sahip güvenlik profesyonellerinden geliyor” diye yazdı.