Kimlik ve erişim yönetimi (IAM) uzmanı Okta, Okta Yardım Merkezi müşteri destek yönetimi sisteminin ele geçirilmesine yönelik devam eden soruşturmanın, tehdit aktörünün düşünülenden çok daha fazla veriyi tehlikeye atmış olabileceğine dair kanıtlar ortaya koymasının ardından müşterilerini dikkatli olmaları konusunda uyardı. aslında sistemi kullanan tüm müşteriler artık risk altında olabilir.
Olayda, bir tehdit aktörünün, kurumsal bir cihaz kullanarak ele geçirilen kişisel Google hesabında oturum açan kendi çalışanlarından birinden çalınan kimlik bilgilerini kullanarak Okta’nın vaka yönetimi sistemine erişmesi ve müşteriler tarafından yüklenen HTTP Arşivi (HAR) dosyalarını görüntülemesi görüldü. temsilcilerinin sorunlarını gidermelerine izin verin.
Bu tür dosyalar aynı zamanda bir siber suçlu için değerli olan çerezler ve oturum belirteçleri gibi verileri de içerebilir.
O zamanlar küçük bir müşteri alt kümesinin etkilendiğine inanılıyordu ve bunlardan bazıları kendilerini kendi açıklamalarıyla tanımlıyorlardı; ancak şimdi Okta’nın ihlalin kapsamının ihlalin kapsamının çok daha geniş olduğunu belirlemesine olanak tanıyan yeni bilgiler gün ışığına çıktı. O.
Okta’nın bilgi güvenliği sorumlusu David Bradbury, “Tehdit aktörünün tüm Okta müşteri destek sistemi kullanıcılarının adlarını ve e-posta adreslerini içeren bir raporu çalıştırdığını ve indirdiğini belirledik” dedi.
Bu nedenle, ABD hükümetinin FedRamp High ve DoD IL4 ortamlarındakiler hariç tüm Okta Workforce Identity Cloud (WIC) ve Customer Identity Solution (CIS) müşterileri siber saldırıdan etkileniyor. Auth0/CIC destek vaka yönetimi sistemi de etkilenmedi.
Elde edilen raporda hesap oluşturma tarihi, son giriş, tam ad, kullanıcı adı, e-posta adresi, şirket adı, kullanıcı türü, adres, son şifre değiştirme tarihi, iş unvanı, iş tanımı, telefon numarası, cep telefonu numarası, saat dilimi ve SAML Federasyon Kimliği.
Boş alanlar
Ancak Bradbury, alanların çoğunluğunun boş olduğunu ve raporun kimlik bilgileri veya hassas bilgiler içermediğini söyledi. Müşterilerin %99’undan fazlası için büyük bir çoğunluk için aslında çalınan tek bilgi isimler ve e-posta adresleriydi.
Bradbury, “Bu bilgilerin aktif olarak kullanıldığına dair doğrudan bilgimiz veya kanıtımız olmasa da, tehdit aktörünün bu bilgileri kimlik avı veya sosyal mühendislik saldırıları yoluyla Okta müşterilerini hedeflemek için kullanması ihtimali var” dedi. büyük olasılıkla artan bir risk meydana gelecektir.
Okta, tehdit aktörünün gerçekleştirdiği eylemlerin daha ayrıntılı incelenmesinin ardından, indirdikleri bir raporun dosya boyutunun Okta’nın ilk araştırması sırasında oluşturduğu dosyadan çok daha büyük olduğunu tespit ettikten sonra ihlalin gerçek boyutunu ortaya çıkardığını söyledi.
Daha derin analizler, saldırganın raporun filtrelenmemiş bir görünümünü çalıştırdığını, Okta’nın oluşturduğu raporun çok daha küçük görünmesi nedeniyle başlangıçta tespit edilemediğini ortaya çıkardı; filtreler kaldırıldığında indirilen dosyanın oldukça büyük olduğu ortaya çıktı.
Yeni öneriler
Bu nedenle Okta müşteri destek sistemi kullanıcılarının kendi ortamlarında ayrıcalıklı kullanıcılar olma eğiliminde olduğu göz önüne alındığında kuruluş, tüm müşterilerin derhal çok faktörlü kimlik doğrulamayı (MFA) kullanmasını ve kimlik avına karşı dayanıklı kimlik doğrulayıcıları kullanmayı düşünmesini öneriyor.
Ayrıca, oturumlarının farklı bir otonom sistem numarasına sahip bir IP adresinden yeniden kullanılması durumunda yöneticilerin yeniden kimlik doğrulaması yapmasını gerektiren bir erken erişim özelliği de getirmiştir ve mümkünse müşterilerin bu özelliği hemen etkinleştirmesi gerekir.
Okta ayrıca oturumları 12 saatle sınırlayan ve 15 dakika sonra zaman aşımına uğrayan yönetici konsolu zaman aşımlarını da sunuyor. Bu, önizleme organizasyonları için bugünden (29 Kasım 2023) itibaren kullanıma sunulacak ve genel olarak 4 Aralık’tan itibaren kullanıma sunulacak.
Son olarak Okta, müşterilerini, çalışanlarını hedef alan kimlik avı girişimlerine karşı dikkatli olmaları, özellikle de BT yardım masalarını veya ilgili hizmet sağlayıcılarını hedef alan girişimlere karşı dikkatli olmaları konusunda uyarıyor. Kullanıcılar ayrıca kendi yardım masası doğrulama süreçlerini de gözden geçirmeli ve ayrıcalıklı bir hesaptaki şifreyi değiştirmek gibi yüksek riskli eylemlere izin verilmeden önce daha sıkı kontrollerin yapıldığından emin olmalıdır.