Okta, saldırganların çalıntı kimlik bilgilerini kullanarak müşterilerin destek yönetim sistemine yükledikleri çerezleri ve oturum belirteçlerini içeren dosyalara eriştiklerini söyledi.
Okta’nın Baş Güvenlik Sorumlusu David Bradbury, “Tehdit aktörü, son destek vakalarının bir parçası olarak belirli Okta müşterileri tarafından yüklenen dosyaları görüntüleyebildi” dedi.
“Okta destek vaka yönetimi sisteminin, tamamen çalışır durumda olan ve etkilenmeyen üretim Okta hizmetinden ayrı olduğunu belirtmek gerekir.”
Okta’nın CSO’su, bu olayın Auth0/CIC vaka yönetimi sistemini etkilemediğini ekledi. Okta, olaydan Okta ortamı veya destek biletleri etkilenen tüm müşterilere bilgi verdi. Uyarı almayanlar etkilenmez.
Saldırıda muhtemelen açığa çıkan oturum belirteçleri ve çerezler
Şirket, ihlalde hangi müşteri bilgilerinin ifşa edildiği veya hangi bilgilere erişildiği konusunda henüz ayrıntılı bilgi vermezken, bu saldırıda ihlal edilen destek vaka yönetimi sistemi, çeşitli sorunları gidermek amacıyla kullanıcı veya yönetici hatalarını kopyalamak için kullanılan HTTP Arşivi (HAR) dosyalarını depolamak için de kullanıldı. kullanıcılar tarafından bildirilen sorunlar.
Ayrıca tehdit aktörlerinin müşteri hesaplarını ele geçirmek için kullanabileceği çerezler ve oturum belirteçleri gibi hassas veriler de içerirler.
Okta, destek portalında şöyle açıklıyor: “HAR dosyaları, tarayıcı etkinliğinin kaydını temsil ediyor ve muhtemelen ziyaret edilen sayfaların içeriği, başlıklar, çerezler ve diğer veriler dahil olmak üzere hassas veriler içeriyor.”
“Bu, Okta personelinin tarayıcı etkinliğini çoğaltmasına ve sorunları gidermesine olanak tanırken, kötü niyetli aktörler bu dosyaları sizi taklit etmek için kullanabilir.”
Şirket, olay incelemesi sırasında etkilenen müşterilerle çalıştı ve paylaşılan HAR dosyalarına gömülü oturum belirteçlerini iptal etti. Artık tüm müşterilere HAR dosyalarını paylaşmadan önce kimlik bilgileri ve çerez/oturum belirteçleri içermediğinden emin olarak temizlemelerini tavsiye ediyor.
Okta ayrıca, saldırganlarla bağlantılı IP adresleri ve web tarayıcısı Kullanıcı Aracısı bilgileri de dahil olmak üzere, soruşturma sırasında gözlemlenen güvenlik ihlali göstergelerinin bir listesini de paylaştı.
2 yıldan kısa sürede birden fazla güvenlik olayı
Geçen yıl Okta, Lapsus$ veri gaspı grubunun Ocak 2022’de yönetim konsollarına erişim kazanmasının ardından bazı müşterilerinin verilerinin açığa çıktığını açıklamıştı.
Okta müşterilerine SMS yoluyla iletilen tek kullanımlık şifreler (OTP’ler), Ağustos 2022’de bulut iletişim şirketi Twilio’yu ihlal eden Scatter Swine tehdit grubu (aka 0ktapus) tarafından da çalındı.
Okta’nın sahip olduğu kimlik doğrulama hizmet sağlayıcısı Auth0 da Eylül ayında bazı eski kaynak kodu depolarının bilinmeyen bir yöntem kullanılarak ortamından çalındığını açıklamıştı.
Okta, Aralık ayında şirketin özel GitHub depolarının saldırıya uğramasının ardından kendi kaynak kodu hırsızlığı olayını ortaya çıkardı.
Okta sözcüsü, ihlalin tarihi ve BleepingComputer bugün erken saatlerde ulaştığında kaç müşterinin etkilendiğiyle ilgili soruları yanıtlamadı.
Bunun yerine sözcü, destek sisteminin “tamamen çalışır durumda olan ve etkilenmeyen üretim Okta hizmetinden ayrı olduğunu. Etkilenen müşterilerimizi bilgilendirdik ve tüm müşterilerimizi korumak için önlemler aldık” dedi.