Okta, bir tehdit aktörünün Ekim 2023'teki bir siber saldırı sırasında çalındığı iddia edilen dosyaları bir hacker forumunda paylaşmasının ardından şirket verilerinin sızdırıldığını reddediyor.
Okta, Tek Oturum Açma (SSO), çok faktörlü kimlik doğrulama (MFA) ve API erişim yönetimi hizmetleri dünya çapında binlerce kuruluş tarafından kullanılan, San Francisco merkezli bir bulut kimlik ve erişim yönetimi çözümleri sağlayıcısıdır.
Ekim 2023'te Okta, destek sisteminin çalıntı kimlik bilgileri kullanan bilgisayar korsanları tarafından ihlal edildiği ve saldırganların bazı müşteriler için çerezleri ve kimlik doğrulamalarını çalmasına olanak tanıdığı konusunda uyardı. Dahili soruşturmanın Kasım ayı sonlarında tamamlanmasının ardından olayın müşteri destek sisteminin tüm kullanıcılarını etkilediği ortaya çıktı.
Bu olay, birden fazla Okta müşterisi için ihlal riskini artırdı; bunun dikkate değer bir örneği, bilgisayar korsanlarının Okta ihlali sırasında çalınan erişim tokenlarını kullandığı Cloudflare'in kendi kendine barındırılan Atlassian sunucularından birinin daha sonra ele geçirilmesiydi.
Cumartesi günü, 'Ddarknotevil' takma adını kullanan bir siber suçlu, geçen yılki ihlal sırasında çalınan 3.800 müşterinin bilgilerini içeren bir Okta Veritabanını serbest bıraktığını iddia etti.
“Bugün hepiniz için Okta veritabanını yükledim, Bu İhlal @IntelBroker adına paylaşılıyor – [Cyber
“Eylül 2023'te bir BT hizmet yönetimi şirketi olan Okta, 3,8 bin müşteri destek kullanıcısının açığa çıkmasına neden olan bir veri ihlali yaşadı.”
Sızan veriler arasında kullanıcı kimlikleri, tam adlar, şirket adları, ofis adresleri, telefon numaraları, e-posta adresleri, pozisyonlar/roller ve diğer bilgiler yer alıyor.
BleepingComputer, iddiaların Ekim olayıyla veya açıklanmayan herhangi bir ihlalle bağlantılı olup olmadığını sormak için hafta sonu Okta ile temasa geçti.
Bugün şirket, verilerin kendilerine ait olmadığını ve internetteki kamuya açık bilgilerden alınmış gibi göründüğünü söyledi.
Bir Okta sözcüsü BleepingComputer'a “Bu Okta'nın verileri değil ve Ekim 2023'teki güvenlik olayıyla ilişkili değil” dedi.
“Bu verinin kaynağını veya doğruluğunu belirleyemeyiz, ancak bazı alanların on yıldan daha eski tarihlere sahip olduğunu fark ettik. Bu bilgilerin internetteki kamuya açık bilgi kaynaklarından toplanmış olabileceğinden şüpheleniyoruz.”
Okta sözcüsü ayrıca BleepingComputer'a firmanın BT ekibinin hafta sonu boyunca tüm sistemleri kapsamlı bir şekilde araştırdığını ve herhangi bir ihlal kanıtı bulamadığını doğruladı.
Siber istihbarat firması KELA da paylaşılan verileri inceledi ve bağımsız olarak verilerin Okta'ya ait olmadığını ancak Temmuz ayında ihlal edilen farklı bir şirkete ait olduğuna inanıldığını doğruladı.
KELA'nın veriler ve kayıt sayısı üzerinde yaptığı analiz, bunların Ulusal Savunma Bilgi Paylaşımı ve Analiz Merkezi'nden çaldığını iddia eden tehdit aktörü “IntelBroker” tarafından Temmuz 2023'te yapılan dökümle aynı veriler olduğunu doğruladı.