Şirket Salı günü yaptığı açıklamada, Okta müşteri destek sisteminin son ihlalinin kapsamının başlangıçta belirlenenden çok daha geniş olduğunu itiraf etti: Saldırganlar, müşterilerin adlarını ve e-posta adreslerini içeren bir rapor indirdiler. Tümü Okta müşteri destek sistemi kullanıcıları.
Okta müşteri destek sistemi ihlaline ilişkin ilk ve en son bulgular
Bu ihlal, etkilenen müşterilerden bazılarının (BeyondTrust, CloudFlare ve 1Password) saldırganların sistemlerine saldırı girişiminde bulunmak için Okta’dan çalınan bilgileri kullandığını doğrulamasının ardından Ekim ayı sonlarında kamuoyuna duyuruldu.
Ardından Okta CSO’su David Bradbury, saldırganların müşteri destek kayıtlarını nasıl görüntülediklerini ve hassas bilgileri nasıl elde ettiklerini ayrıntılarıyla anlattı ve tehdit aktörünün 134 (yani %1’den az) Okta müşterisiyle ilişkili dosyalara yetkisiz erişim elde ettiğini söyledi.
Bradbury’ye göre Okta Security, yakın zamanda tehdit aktörünün müşteri destek sistemi içinde çalıştırıldığına dair raporları yeniden oluşturdu ve özellikle bir dosya boyutunun, ilk soruşturma sırasında oluşturulan dosyadan çok daha büyük olduğunu buldu.
“İlk analizimizdeki tutarsızlık, tehdit aktörünün raporu filtrelenmemiş bir şekilde görüntülemesinden kaynaklanıyor” dedi.
“Ayrıca, tehdit aktörünün eriştiği, tüm Okta sertifikalı kullanıcıların ve bazı Okta Müşteri Kimlik Bulutu (CIC) müşteri iletişim bilgilerinin ve diğer bilgilerin iletişim bilgilerini içeren ek raporlar ve destek vakaları da belirledik. Bu raporlarda bazı Okta çalışanlarının bilgileri de yer alıyordu. Bu iletişim bilgileri, kullanıcı kimlik bilgilerini veya hassas kişisel verileri içermez.”
Yani kısaca:
- Tüm Okta Workforce Identity Cloud (WIC) ve Müşteri Kimlik Çözümü (CIS) müşterileri etkilendi
- Okta’nın FedRamp High ve DoD IL4 ortamlarındaki (ayrı bir destek sistemiyle) müşteriler etkilenmez. Ayrıca Auth0/CIC desteği vaka yönetim sistemine saldırganlar tarafından erişilemedi.
Hangi bilgiler çalındı ve bu, etkilenen müşteriler için ne anlama geliyor?
Okta’nın müşteri destek sistemindeki tüm kullanıcıları listeleyen yukarıda bahsedilen rapor bir dizi alan içerir: tam ad, kullanıcı adı, e-posta, şirket adı, adres, rol, telefon ve cep telefonu numarası, SAML Federasyon Kimliği vb.
“Rapordaki alanların çoğunluğu boş ve raporda kullanıcı kimlik bilgileri veya hassas kişisel veriler yer almıyor. Bradbury, rapordaki kullanıcıların %99,6’sı için kaydedilen tek iletişim bilgilerinin tam ad ve e-posta adresi olduğunu açıkladı.
Yine de bu bilgiler, saldırganlar tarafından Okta müşterilerine yönelik hedef odaklı kimlik avı yapmak veya onları diğer sosyal mühendislik saldırıları yoluyla kandırmak için kullanılabilir.
“Okta müşterileri, kendi Okta organizasyonlarında kullandıkları hesapların aynılarıyla Okta’nın müşteri destek sistemine giriş yapıyor. Müşteri destek sisteminin birçok kullanıcısı Okta yöneticileridir. Bu kullanıcıların yalnızca müşteri destek sistemini korumak için değil, aynı zamanda Okta yönetici konsollarına erişimi güvenli hale getirmek için çok faktörlü kimlik doğrulamaya (MFA) kaydolmaları kritik önem taşıyor” diye açıkladı ve Okta müşterilerinin çalışanlarını, BT Yardım Masalarını ve ilgili hizmet sağlayıcılarını hedef alan kimlik avı girişimlerine karşı dikkatli olun.
Şirket ayrıca kuruluşların etkinleştirebileceği ve yönetici oturumlarını daha da güvenli hale getirmek için ince ayar yapabileceği birkaç yeni güvenlik özelliğini (yönetici oturumu bağlama, yönetici oturumu zaman aşımı) tanıttı.