Hesap Devralma Dolandırıcılığı, İhlal Bildirimi, Siber Suçlar
Tehdit Aktörü, 134 Okta Müşterisinin Dosyalarına Erişmek İçin Oturum Ele Geçirme Tekniği Kullandı
Prajeet Nair (@prajeetspeaks) •
4 Kasım 2023
Bulut tabanlı Kimlik ve kimlik doğrulama yönetimi sağlayıcısı Okta, bir güvenlik açığının duyurulmasından günler sonra, bir çalışanın Okta tarafından yönetilen bir dizüstü bilgisayarın Chrome tarayıcısında kişisel bir Google profilinde oturum açmasının ardından bilinmeyen bir tehdit aktörünün 134 müşterinin dosyalarına eriştiğini söyledi.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
Cuma günü yayınlanan bir gönderiye göre dizüstü bilgisayar, Okta’nın müşteri destek sisteminde saklanan ve müşteri destek vakalarını görüntüleme ve güncelleme izni veren “güvenli olmayan” bir çalışan hizmet hesabına erişim içeriyordu.
Okta Baş Güvenlik Sorumlusu David Bradbury, “Hizmet hesabının kullanıcı adı ve şifresi, çalışanın kişisel Google hesabına kaydedildi. Bu kimlik bilgilerinin açığa çıkmasının en olası yolu, çalışanın kişisel Google hesabının veya kişisel cihazının ele geçirilmesidir” dedi.
Okta, saldırganların “oturum ele geçirme saldırıları için kullanılabilecek oturum belirteçleri içeren HAR dosyalarını” ele geçirdiğini söyledi. HAR, bir web tarayıcısının bir web sitesiyle etkileşiminin tüm günlüğünü izleyen HTTP Arşiv formatının kısa biçimidir.
Oturum ele geçirme saldırısında kötü niyetli bir kişi, normalde bir oturum belirteci için yönetilen web oturumu kontrol mekanizmasından yararlanır.
San Francisco merkezli firma, bu dosyaların Okta’nın beş müşterisine yönelik oturum ele geçirme saldırıları için kullanılan oturum belirteçleri içerdiğini ve bunların üçünün bu olaya yanıtlarını paylaştığını söyledi.
Şirket, güvenlik açığını ilk olarak 20 Ekim’de duyurdu ve saldırganların müşteri destek yönetim sistemine erişim sağladığı ve bazı müşteriler tarafından yüklenen hassas bilgileri çaldığı konusunda uyarıda bulundu (bkz.: Okta Destek Birimi, Bilgisayar Korsanları Tarafından Çalınan Kimlik Bilgileriyle İhlal Edildi).
Bradbury, Okta’nın 14 gün boyunca müşteri destek sağlayıcısı günlüklerinde şüpheli dosya indirmelerini tespit edemediğini kabul etti. Bir kullanıcı “bir destek vakasına ekli dosyaları açıp görüntülediğinde, o dosyaya bağlı olarak belirli bir günlük olayı türü ve kimliğinin oluşturulduğunu” söyledi.
Bu vakada tehdit unsuru doğrudan müşteri destek sistemindeki Dosyalar sekmesine gitti ve bu, farklı bir kayıt kimliğine sahip tamamen farklı bir günlük olayının tetiklenmesine neden oldu.
Bradbury, Okta’nın ilk soruşturmasının destek vakalarına erişim ve bu vakalarla bağlantılı günlüklerin değerlendirilmesine odaklandığını söyledi.
“13 Ekim 2023’te BeyondTrust, Okta Security’ye tehdit aktörüne atfedilen şüpheli bir IP adresi sağladı. Bu göstergeyle, ele geçirilen hesapla ilişkili ek dosya erişim olaylarını belirledik” dedi.
Düzeltme Görevleri
Şirket ayrıca müşterisi için aşağıdaki iyileştirme görevlerini de yayınladı:
- Müşteri destek sistemindeki güvenliği ihlal edilmiş hizmet hesabını devre dışı bırakın;
- Kişisel Google profillerinin Google Chrome ile kullanımını engelleyin. Okta, Chrome Enterprise içinde, şirketin Okta tarafından yönetilen dizüstü bilgisayarlarında Chrome’da oturum açılmasını engelleyen bir yapılandırma seçeneği uyguladı;
- Müşteri destek sistemi için gelişmiş izlemeyi uygulayın;
- Ağ konumuna göre Okta yönetici oturumu belirteçlerini bağlayın. Bu, Okta yöneticilerine yönelik oturum belirteci hırsızlığı tehdidiyle mücadeleye yardımcı olur.
Bradbury, “Okta yöneticileri artık bir ağ değişikliği tespit edersek yeniden kimlik doğrulaması yapmak zorunda kalacak. Bu özellik, Okta yönetici portalının erken erişim bölümünde müşteriler tarafından etkinleştirilebilir” dedi.