Okta, müşterilere ait dosyaların açığa çıkmasına neden olan yakın tarihli bir ihlalle ilgili ayrıntıları açıkladı.
1Password’ün bu ihlalin kurbanı olduğunu makalemizde açıkladığımız gibi, Okta desteğinin müşterilerden HTTP Arşivi (HAR) dosyası olarak bilinen bir dosyayı yüklemelerini istemesi normaldir. Bu dosyaya sahip olmak, ekibin tarayıcıda olup bitenleri kopyalayarak sorunları gidermesine olanak tanır. Bu nedenle bir HAR dosyası, siber suçluların geçerli kullanıcıların kimliğine bürünmek için kullanabileceği çerezler ve oturum belirteçleri dahil olmak üzere hassas veriler içerebilir.
1Password, BeyondTrust ve Cloudflare, şirket içi Okta yönetici hesaplarına yetkisiz giriş denemeleri tespit ettikten sonra olayları Okta’ya bildirdiler ve o da soruşturma başlattı.
Okta, 28 Eylül ile 17 Ekim 2023 tarihleri arasında bir saldırganın Okta’nın müşteri destek sistemindeki 134 Okta müşterisiyle ilişkili dosyalara yetkisiz erişim sağladığını tespit ettiğini söyledi.
Saldırgan, sistemin kendisinde saklanan ve müşteri destek yazışmalarını görüntüleme ve güncelleme izinlerine sahip olan bir hizmet hesabının çalıntı kimlik bilgilerini kullanarak erişim elde etti.
Saldırgan, bu hizmet hesabına erişim sağlamak için bir Okta çalışanının güvenliğini ihlal etti. Çalışan, Okta tarafından yönetilen dizüstü bilgisayarında Chrome’da kişisel Google profilinde oturum açarken hizmet hesabına giriş yaptı. Bu, hizmet hesabının kimlik bilgilerinin çalışanın kişisel Google hesabında saklandığı anlamına geliyordu.
Bu hesaptan saldırganın eline nasıl geçtikleri bilinmiyor, ancak büyük ihtimalle saldırgan, kişisel hesabı ele geçirmiş veya çalışanın cihazlarından biri saldırganın eline geçmiş ve buradan Google hesabına erişip kimlik bilgilerini toplamıştı.
Saldırgan, içeri girdikten sonra personelin kimliğine bürünmek ve 1Password, BeyondTrust ve Cloudflare dahil olmak üzere beş müşterinin meşru Okta oturumlarını ele geçirmek için HAR dosyalarındaki oturum belirteçlerini kullanabildi.
Okta, artık şirket tarafından yönetilen bilgisayarlarda kişisel Google erişimini kilitlediğini söylüyor:
“Okta, Chrome Enterprise’da, kişisel bir Google profili kullanarak Okta tarafından yönetilen dizüstü bilgisayarlarında Chrome’da oturum açılmasını engelleyen özel bir yapılandırma seçeneği uyguladı.”
Genel olarak, cihazların iş amaçlı kullanımını kesin olarak ayırmak zordur. Malwarebytes tarafından 2020 yılında yapılan bir ankette, insanların çoğunluğunun iş cihazlarını kişisel kullanım için kullandığını tespit ettik. Bir çalışana bir cihaz tahsis edildiğinde, çalışanlar onu az çok “kendilerine ait” olarak görüyor ve onu kişisel meseleler için kullanmaya başlama eğilimi var. Okta bu davranışı önceden tahmin edebilirdi ve bu kadar önemli bir hesap için ek güvenlik önlemleri ekleyebilirdi.
Okta müşterileri için dikkate alınması gereken bir iyileştirme görevi şudur:
“Okta, Okta yöneticilerine yönelik oturum belirteci hırsızlığı tehdidiyle mücadele etmek için bir ürün geliştirmesi olarak ağ konumuna dayalı oturum belirteci bağlamayı yayınladı. Okta yöneticileri artık bir ağ değişikliği tespit edersek yeniden kimlik doğrulaması yapmak zorunda kalacak. Bu özellik müşteriler tarafından Okta yönetici portalının erken erişim bölümünde etkinleştirilebilir.”
Veri ihlali
Bir veri ihlalinin kurbanıysanız veya mağdur olduğunuzdan şüpheleniyorsanız gerçekleştirebileceğiniz bazı eylemler vardır.
- Satıcının tavsiyelerini kontrol edin. Her ihlal farklıdır, bu nedenle ne olduğunu öğrenmek için satıcıyla görüşün ve sundukları özel tavsiyelere uyun.
- Şifreni değiştir. Çalınan bir şifreyi değiştirerek hırsızların işine yaramaz hale getirebilirsiniz. Başka hiçbir şey için kullanmadığınız güçlü bir şifre seçin. Daha da iyisi, bir şifre yöneticisinin sizin için bir şifre seçmesine izin verin.
- İki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Yapabiliyorsanız ikinci faktör olarak FIDO2 uyumlu bir donanım anahtarı, dizüstü bilgisayar veya telefon kullanın. İki faktörlü kimlik doğrulamanın (2FA) bazı biçimleri, parola kadar kolay bir şekilde kimlik avına tabi tutulabilir. FIDO2 cihazına dayanan 2FA’ya kimlik avı yapılamaz.
- Sahte satıcılara dikkat edin. Hırsızlar satıcı kılığına girerek sizinle iletişime geçebilir. Mağdurlarla iletişime geçip geçmediklerini görmek için satıcının web sitesini kontrol edin ve farklı bir iletişim kanalı kullanarak herhangi bir kişiyi doğrulayın.
- Acele etmeyin. Kimlik avı saldırıları genellikle tanıdığınız kişileri veya markaları taklit eder ve kaçırılan teslimatlar, hesapların askıya alınması ve güvenlik uyarıları gibi acil müdahale gerektiren temaları kullanır.