İhlal Bildirimi, Kimlik ve Erişim Yönetimi, Güvenlik Operasyonları
Satıcı, Parolaları Hedefleyen Kimlik Avı ve Sosyal Mühendislik Saldırılarına Dikkat Edin, Uyardı
Sayın Mihir (MihirBagwe), Mathew J. Schwartz (euroinfosec) •
29 Kasım 2023
Okta, Eylül ayı veri ihlalinin ardındaki saldırganın, birincil müşteri destek sisteminin tüm kullanıcılarına ilişkin ayrıntılar da dahil olmak üzere ilk keşfettiğinden daha fazla bilgi çaldığını söyledi.
Ayrıca bakınız: Bir İhlal Sonrası CISO’nun Müdahale Planı
San Francisco merkezli kimlik ve kimlik doğrulama devi, ihlali ilk kez 3 Kasım’da kamuoyuna açıklayarak, saldırganların müşteri destek yönetim sistemine erişim sağladığı ve 134 müşteri tarafından yüklenen hassas bilgileri çaldığı konusunda uyardı.
Çarşamba günü yayınlanan güncellenmiş bir veri ihlali bildiriminde Okta CSO’su David Bradbury, Okta’nın yakın zamanda saldırganın çok sayıda müşteri destek sistemi kullanıcısının kullanıcı adları ve iletişim bilgilerinin tam listesi de dahil olmak üzere çok daha fazla veri çaldığını keşfettiğini söyledi.
Müfettişler, saldırganın herhangi bir “kullanıcı kimlik bilgilerini veya hassas kişisel verileri” çaldığına inanmadıklarını ancak yine de kimlik avı veya sosyal mühendislik saldırıları yoluyla kullanıcıları ve özellikle yöneticileri hedef alarak bu kimlik bilgilerini elde etmek için çalınan bilgileri kullanmaya çalışabileceğini söyledi.
Veri hırsızlığının ışığında Okta, saldırganın çalınan bilgileri yöneticileri şifrelerini ifşa etmeleri için kandırmak için kullanabileceği ve böylece bilgisayar korsanlarının hesaplarına erişmesine izin verebileceği için kuruluşlara Okta yönetici hesaplarının çok faktörlü kimlik doğrulama kullanılarak korunmasını sağlamasını öneriyor.
Bradbury, “Okta müşterileri, Okta’nın müşteri destek sisteminde kendi Okta organizasyonlarında kullandıkları hesaplarla oturum açıyor” dedi. “Müşteri destek sisteminin birçok kullanıcısı Okta yöneticileridir.”
Okta, müşterilerinin %6’sının yöneticilerinin Okta yönetici hesaplarına erişmesi için hâlâ MFA’ya ihtiyaç duymadığını söyledi. Bradbury, “Tüm Okta müşterilerinin MFA kullanmasını ve güvenliklerini daha da artırmak için Okta Verify FastPass, FIDO2 WebAuthn veya PIV veya CAC akıllı kartlar gibi kimlik avına karşı dayanıklı kimlik doğrulayıcıları kullanmayı düşünmelerini öneriyoruz” dedi.
Bilgi Güvenliği Medya Grubu’na konuşan bir sözcü, “Bu bilgilerin aktif olarak kullanıldığına dair doğrudan bilgimiz veya kanıtımız olmasa da, tüm müşterilerimize bu dosyanın kimlik avı ve sosyal mühendislik açısından artan bir güvenlik riski oluşturduğunu bildirdik” dedi.
Okta, bu veri ihlalini geçtiğimiz yaz otel ve kumarhane devleri Caesar’s ve MGM Resorts gibi şirketlerin risklerini tehlikeye atan bir dizi saldırıyla ilişkilendirmedi. Bu saldırılarda, anekdot niteliğindeki kanıtlar, bir saldırganın bir yardım masası çalışanını, bir çalışan hesabına erişmesi için başarıyla kandırdığını ve Okta çok faktörlü kimlik doğrulama kontrollerini atlamalarına olanak tanıdığını gösteriyor.
Eylül ayında Okta, geçen yıl bu tür saldırılarda bir artış gördüğünü bildirdi ve bunların çoğunun, Alphv fidye yazılımının bağlı kuruluşu olduğundan şüphelenilen bir grubun güvenlik endüstrisi kod adı olan Dağınık Örümcek – diğer adıyla UNC3944 veya Muddled Libra – ile takip edildiğini belirtti. Bağlı kuruluşlarına BlackCat fidye yazılımını geliştiren ve sağlayan bir hizmet olarak grup.
Rapor Tutarsızlıkları
Okta, müşteri destek sistemi ihlali sırasında, saldırganın, 28 Eylül’deki bir rapor da dahil olmak üzere, her Okta müşteri destek sistemi kullanıcısı hakkında potansiyel olarak tam adı, kullanıcı adı, e-postası, şirket adı, adresi ve şirketteki rolü dahil olmak üzere bilgi veren birden fazla rapor çalıştırdığını söyledi. diğer bilgilerin yanı sıra kuruluşları, telefon numaraları ve SAML Federasyon Kimliği.
Okta, her kullanıcının her alan için bilgi paylaşmadığını söyledi. Bradbury, “Rapordaki alanların çoğunluğu boş ve rapor kullanıcı kimlik bilgilerini veya hassas kişisel verileri içermiyor” dedi. “Rapordaki kullanıcıların %99,6’sı için kaydedilen tek iletişim bilgisi tam ad ve e-posta adresidir.”
Şirket, raporun Okta Workforce Identity Cloud ve Müşteri Kimlik Çözümü müşterilerinin tüm kullanıcıları için bilgi ürettiğini söyledi. Bradbury, raporun “FedRamp High ve DoD IL4 ortamlarımızdaki müşteriler – bu ortamlar, tehdit aktörü tarafından erişilmeyen ayrı bir destek sistemi kullanıyor” veya Auth0/CIC destek vaka yönetimi sistemi hakkında bilgi içermediğini söyledi.
İhlal Zaman Çizelgesi
Çok sayıda Okta müşterisi, satıcının izini sürdükleri şüpheli etkinliği Eylül sonu veya Ekim başında Okta’ya bildirdiklerini söyledi. Okta, bilgilerin kendi müşteri destek sisteminden çalındığını geç de olsa doğruladı. Şirket daha sonra bir saldırganın, bir çalışanın kişisel Google hesabından geçerli erişim bilgilerini çaldığını tespit etti. Müfettişler, çalışanın bu hesabı Okta tarafından yönetilen bir dizüstü bilgisayarın Chrome tarayıcısına giriş yapmak için kullandığını ve Okta hizmetinin kullanıcı adını ve şifresini kişisel hesabına kaydettiğini tespit etti.
Şüpheli etkinliği bildiren şirketler arasında erişim yönetimi tedarikçisi BeyondTrust, yaygın olarak kullanılan şifre yönetimi yazılımı üreticisi 1Password ve içerik dağıtım ağı devi Cloudflare yer alıyor. Her biri, saldırganın çalınan Okta müşteri destek verilerini kendilerine karşı kullanma girişiminin başarısız olduğunu söyledi.
Okta’nın, ilk ihlal bildiriminin ardından saldırganın çaldığı şeyin tam boyutunu anlamada dört haftalık gecikmesinin nedeni nedir?
Bradbury, saldırganın çalıştırdığı şablonlu raporun varsayılan olarak etkinleştirilmiş birden fazla filtre içermesi nedeniyle araştırmacıların başlangıçta veri hırsızlığının tüm kapsamını gözden kaçırdığını söyledi. Araştırmacılar, geç de olsa, saldırgan tarafından indirilen çok daha büyük dosyayla karşılaştırıldığında, raporun filtrelenmiş sürümünün oluşturduğu dosyanın boyutunda bir tutarsızlık buldu. “Kasım ayı incelememiz, filtrelerin şablonlu rapordan kaldırılması durumunda indirilen dosyanın önemli ölçüde daha büyük olacağını ve güvenlik telemetrimizde kayıtlı indirilen dosyanın boyutuyla daha yakından eşleştiğini tespit etti” dedi.
Bradbury, müfettişlerin ayrıca “tehdit aktörünün eriştiği, tüm Okta sertifikalı kullanıcıların ve bazı Okta Müşteri Kimlik Bulutu müşteri iletişim bilgilerinin ve diğer bilgilerin iletişim bilgilerini içeren ek raporlar ve destek vakaları tespit ettiğini” söyledi. “Bazı Okta çalışanlarının bilgileri de bu raporlara dahil edildi.”
Şirket, dış soruşturmacıların en son ihlal bulgularını araştırmaya ve doğrulamaya devam ettiğini söyledi. Okta’nın sözcüsü, “Soruşturmamızı desteklemek için bir dijital adli tıp firmasıyla çalışıyoruz ve tamamlandıktan sonra raporu müşterilerle paylaşacağız” dedi. “Ayrıca, bilgileri indirilen kişilere de bildirimde bulunacağız.”
Okta ayrıca destek portalına, özelleştirilebilir yönetici konsolu zaman aşımları da dahil olmak üzere yeni güvenlik savunmaları eklediğini (varsayılan değer, 12 saatlik oturum veya 15 dakikalık boşta kalma süresinden sonra oturumların kapatılması olacaktır) ve oturum bağlamayı da eklediğini, yani yöneticilerin oturum açmaları durumunda yeniden kimlik doğrulaması yapmak zorunda kalacağını söyledi. oturum yeni bir IP adresine taşınır.