Önde gelen kimlik ve erişim yönetimi sağlayıcısı Okta, hafta sonu sistemlerinde bir güvenlik ihlali yaşandığını duyurdu. Siber saldırganların, çalınan kimlik bilgileri aracılığıyla destek vaka yönetimine erişim sağladığı ve etkilenen müşterilerin olay hakkında zaten bilgilendirildiği bildirildi.
Firma, son Okta veri ihlalinin Auth0/CIC vaka yönetimi sistemini etkilemediğini açıkladı. Özellikle BeyondTrust ve Cloudflare, ihlalden etkilenen kuruluşlar arasında yer alıyor.
Okta Güvenlik Müdürü David Bradbury, “Tehdit aktörü, son destek vakalarının bir parçası olarak belirli Okta müşterileri tarafından yüklenen dosyaları görüntüleyebildi” dedi ve şunları ekledi: “Okta destek vaka yönetimi sisteminin üretimden ayrı olduğunu belirtmek gerekir. Tamamen çalışır durumda olan ve etkilenmeyen Okta hizmeti.”
Okta, “HAR dosyaları aynı zamanda kötü niyetli aktörlerin geçerli kullanıcıların kimliğine bürünmek için kullanabileceği çerezler ve oturum belirteçleri dahil olmak üzere hassas veriler de içerebilir” diye uyardı.
Okta, oturum belirteçlerini iptal ederek daha fazla kötüye kullanımı önlemek için etkilenen müşterilerle önlemler alıyor. İhlal, 17.000’den fazla Okta istemcisi için bir tehdit oluşturuyor ve potansiyel olarak dünya çapında 50 milyardan fazla kullanıcıyı etkiliyor.
Okta, hafta sonundaki veri ihlalinin ardından Twitter’da ciddi bir tepkiyle karşı karşıya kaldı. Ekte reaksiyonları gösteren ekran görüntüleri bulunmaktadır.
Bu son olay, Okta’nın geçen yıl uğraştığı bir dizi güvenlik sorununa katılıyor. Okta, 2022 yılı boyunca çeşitli güvenlik sorunlarıyla karşılaştı:
Ocak 2022: Lapsus$ hacker grubu Okta’nın üçüncü taraf müşteri destek hizmetleri sağlayıcısı Sitel’i istismar etti. Bir Sitel mühendisini çok faktörlü kimlik doğrulama (MFA) anında bildirimini onaylaması için yönlendirerek, mühendisin masaüstüne Uzak Masaüstü Protokolü (RDP) aracılığıyla eriştiler.
Okta’nın SuperUser uygulamasında iki aktif müşteri kiracısına erişim elde etmelerine rağmen müşteri verilerini veya güvenliğini etkileyemediler.
Mart 2022: Aynı hacker grubu Lapsus$, Okta’nın iç sistemlerine sızdıklarını iddia ederek iddialarını Telegram kanalındaki görüntülerle destekledi.
Başlangıçta Okta her türlü sistem ihlalini yalanladı ancak daha sonraki açıklamalar müşteri ve çalışan bilgilerinin sınırlı düzeyde açığa çıktığını kabul etti.
Ekim 2022: Bir siber güvenlik firması olan BeyondTrust, dahili Okta yönetici hesabına kimlik odaklı bir saldırı tespit etti.
Hızlı eylem, saldırının hızlı bir şekilde tespit edilmesini ve çözülmesini sağlayarak BeyondTrust’un altyapısından veya müşterilerinden ödün verilmemesini sağladı.
Aralık 2022: Okta, Workforce Identity Cloud (WIC) ürününün kaynak kodunun çalındığını doğruladığında daha endişe verici bir açıklama geldi.
Çalınan veriler hassas müşteri bilgileri içermese de Okta, etkilenen müşteri hesaplarına dair hiçbir belirti bulamadığını açıkladı.
Son Okta veri ihlali şirkete önemli bir darbe indirmiş gibi görünüyor. Bilgisayar korsanlarının destek sistemi aracılığıyla müşteri dosyalarına eriştiğinin duyurulmasının ardından Okta’nın hisseleri %11 oranında düştü.
Okta’nın etkilenen müşterilerinden biri olan Cloudflare, “Tehdit aktörü, bir Cloudflare çalışanının oluşturduğu destek biletinden bir oturum jetonunu ele geçirmeyi başardı” dedi. “Tehdit aktörü, Okta’dan çıkarılan tokenı kullanarak 18 Ekim’de Cloudflare sistemlerine erişti.”
Okta Veri İhlaliyle ilgili dedikoduların ortasında hangi siber güvenlik derslerini çıkarabiliriz?
Okta Veri İhlalinden Öğrenilenler
Okta’nın güvenlik ihlalleri talihsiz olsa da siber güvenlik için önemli dersler sağlıyor. Her şeyden önce, büyüklüğü veya önemi ne olursa olsun hiçbir kuruluşun potansiyel siber tehditlerden muaf olmadığının altını çiziyorlar.
İhlaller aynı zamanda üçüncü taraf sağlayıcıların oluşturduğu potansiyel güvenlik açıklarına da dikkat çekerek, dış hizmetleri entegre ederken sıkı güvenlik kontrollerinin ve sürekli izlemenin gerekliliğini vurguluyor.
1. Kimlik Altyapısı Hedeftir
Kimlik altyapısı siber suçluların yeni hedefi. Saldırganlar kimlik doğrulamayı atlatır ve ardından kimlik sağlayıcınıza girerek varlıklarınızı tehlikeye atmaya başlar.
2. Kimlik Doğrulama Sonrası Savunma
MFA’yı devre dışı bırakmak veya bombalamak ya da sosyal mühendislik, bir kuruluşa girmenin yolunu bulmanın sayısız yöntemlerinden sadece birkaçıdır. Kimlik doğrulama sürecini daha karmaşık hale getirmek amacıyla koşullu erişim için ITDR’nin kullanılması yararlı olabilir.
3. Kimlik Yönetim Sistemlerinin Takip Edilmesi Gerekiyor
Bulut, uç nokta ve ağların izlendiği gibi kimlik altyapısının da izlenmesi gerekir. Kimlik Tehdidi algılama ve Yanıt Çözümleri (ITDR), IdP’lerin etkili bir şekilde korunmasına yardımcı olabilir.
4. Saldırganlar En Zayıf Halkayı Hedef Alır
Bir zincir en zayıf halkası kadar güçlüdür. Okta veri ihlali gibi olaylara neden olabilecek birkaç zayıf bağlantıyı burada bulabilirsiniz.
- Birleşme ve Devralmalar: Bir işletmenin vazgeçilmez bir parçası olan güvenlik ekipleri, birleşme ve satın almalar sonrasında ekstra dikkatli olmalı ve daha kolay bir hedef olabilecek ağdaki yeni bölümlere ciddi şekilde dikkat etmelidir.
- Üçüncü Taraf Erişimi: Şirketler üçüncü taraf erişimi için katı kurallar koymalıdır. Çünkü sistemlerinize bağlanan cihazlar sizinki kadar güvenlik uygulamalarına uygun olmayabilir ancak eksikliklerinden dolayı bile meydana gelen bir ihlalden siz sorumlusunuz.
5. Ele Geçirilmiş Kimlik Bilgileri En Büyük Risktir
Kimlik saldırısı vektörleri, bulut kaynaklarının şirket içi ortamdan kaynaklanan siber saldırılara maruz kalması gibi zayıflıkları ördü. Kimlik saldırısı vektörü nedeniyle yüksek düzeyde korunan kaynaklar bile açığa çıkabilir.
Geçtiğimiz yıl Okta’nın yaşadığı bir dizi güvenlik ihlali, sektör lideri teknoloji firmalarının bile karşılaştığı karmaşık siber güvenlik zorluklarını vurguluyor.
İhlallerin ardından firma, özellikle Twitter gibi platformlarda teknik güvenlik açıklarının beraberinde getirebileceği itibar hasarının altını çizerek alay ve alay konusu oldu.
Firmanın karşılaştığı zorluklara ek olarak, Okta’nın hisse senedi fiyatlarındaki kayda değer düşüş, siber güvenlik açıklarının somut ticari sonuçlarını daha da vurguladı.
Hissedar değerinin erozyonundan kamuoyunun şüpheciliğine kadar uzanan bu olaylar, tüm şirketlere siber güvenliğin ciddiyeti konusunda kesin bir uyarı görevi görüyor. Bu yalnızca verileri korumakla ilgili değil, aynı zamanda güveni, itibarı ve finansal istikrarı korumakla da ilgilidir.
Dijital çağda faaliyet gösteren şirketler için siber güvenlik önlemlerine yatırım yapmak ve bunları sürekli güncellemek yalnızca isteğe bağlı değil, zorunludur.
Çok boyutlu etkileriyle dolu Okta ihlalleri, siber savunmaları güçlendirmenin ve dijital alanın öngörülemezliklerine hazırlıklı kalmanın aciliyetini ve önemini vurguluyor.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.