ABD merkezli BT Hizmet Yönetim Şirketi Okta, çalışanın kişisel Google hesabının veya kişisel cihazının ihlalinin, destek sisteminin yakın zamanda gerçekleştirilen hacklenmesi sırasında kimlik bilgilerinin açığa çıkmasında en olası kanal olduğunu kabul ediyor.
Firmaya göre, 28 Eylül 2023 ile 17 Ekim 2023 tarihleri arasında bir tehdit aktörü, 134 Okta müşterisine veya Okta müşterilerinin %1’inden azına bağlı dosyalara yetkisiz erişim elde etti.
Son zamanlarda Okta, üçüncü taraf bir satıcı olan Rightway Healthcare, Inc.’in neden olduğu ve yaklaşık 5.000 çalışanın kişisel bilgilerinin ifşa edildiği bir veri ihlalini açıkladı.
İhlalin Özellikleri
Bu saldırıda ele geçirilen destek vaka yönetimi sistemi, tarayıcı etkinliğini kopyalayarak sorun gidermeyi kolaylaştıran HTTP Arşivi (HAR) dosyalarını içeriyordu.
Diğer hassas verilerin yanı sıra çerezler ve oturum belirteçleri HAR dosyalarında bulunabilir ve kötü niyetli aktörler tarafından meşru kullanıcılar gibi görünmek için kullanılabilir.
Firmaya göre tehdit aktörü, bu oturum belirteçlerini kullanarak beş müşterinin meşru Okta oturumlarını ele geçirmeyi başardı; bunlardan üçü olayla ilgili yanıtlarını yayınladı.
Finansal hizmetler sektörünü hedef alan son siber saldırı dalgasıyla Siber Dayanıklılığınızı sağlayın. Katılımcıların neredeyse %60’ı bir siber saldırının ardından tamamen iyileşebileceklerinden emin değil.
Yerinizi Kaydedin
Okta’nın müşteri hizmetleri sistemine yetkisiz giriş, sistem içinde saklanan bir hizmet hesabı aracılığıyla mümkün oldu. Bu hizmet hesabına müşteri destek yazışmalarını görüntüleme ve güncelleme izni verildi.
Okta Güvenlik Müdürü David Bradbury, “Bu hesabın şüpheli kullanımına ilişkin araştırmamız sırasında Okta Security, bir çalışanın Okta tarafından yönetilen dizüstü bilgisayarının Chrome tarayıcısında kişisel Google profilinde oturum açtığını tespit etti” dedi.
“Hizmet hesabının kullanıcı adı ve şifresi çalışanın kişisel Google hesabına kaydedilmişti. Bu kimlik bilgilerinin açığa çıkmasının en muhtemel yolu, çalışanın kişisel Google hesabının veya kişisel cihazının ele geçirilmesidir”.
Kapsamlı bir araştırma yapan Okta, 14 gün boyunca kayıtlarında herhangi bir şüpheli indirme bulamadı.
Kullanıcı bir destek servis talebiyle ilgili dosyaları açıp görüntülediğinde benzersiz bir günlük olayı türü ve kimliği oluşturulur. Bu örnekte, tehdit aktörü doğrudan müşteri destek sistemindeki Dosyalar sekmesine giderek, farklı bir kayıt kimliğine sahip tamamen farklı bir günlük olayının oluşturulmasına neden oldu.
Bradbury’ye göre Okta’nın ilk soruşturmaları destek vakalarına erişimi içeren vakalar üzerinde yoğunlaştı ve daha sonra ilgili kayıtları değerlendirdiler.
BeyondTrust, 13 Ekim 2023’te Okta Security’ye tehdit aktörüyle ilişkili bir “şüpheli IP adresi” verdi. İşletme, bu göstergeyi kullanarak saldırıya uğramış hesapla bağlantılı “ek dosya erişim olaylarını” keşfetti.
- Güvenliği ihlal edilmiş hizmet hesabını devre dışı bırakın
- Kişisel Google profillerinin Google Chrome ile kullanımını engelleme
- Müşteri destek sisteminin gelişmiş izlenmesi
- Ağ konumuna göre Okta yönetici oturumu belirteçlerini bağlama
Bradbury, “Okta yöneticileri artık bir ağ değişikliği tespit edersek yeniden kimlik doğrulaması yapmak zorunda kalacak” dedi. Müşteriler bu işlevi Okta yönetici portalının erken erişim bölümünde etkinleştirebilir.
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Bir dene ücretsiz deneme % 100 güvenlik sağlamak için.