Şirkete ait bir cihazda kişisel Google hesabında oturum açan bir Okta çalışanının, diğer birkaç kimlik doğrulama hizmeti sağlayıcısı da dahil olmak üzere toplam 134 alt müşteriyi etkilediği bilinen bir ihlalin kaynağı olduğu görülüyor.
28 Eylül’de başlayan ve 17 Ekim’e kadar süren ihlalde kimliği açıklanmayan bir tehdit aktörünün Okta’nın müşteri destek sistemine yetkisiz erişim sağladığı ve burada daha sonra oturum ele geçirme saldırıları gerçekleştirmek için kullanılabilecek oturum belirteçleri içeren dosyaları ele geçirdiği görüldü.
Tehdit aktörü 134 müşteriden beşine saldırmayı başardı; bunlardan üçü (1Password, BeyondTrust ve Cloudflare) olay hakkında kamuoyuna konuştu.
Okta CISO’su David Bradbury şunları söyledi: “Okta’nın müşteri destek sistemine yetkisiz erişim, sistemin kendisinde saklanan bir hizmet hesabından yararlandı. Bu hizmet hesabına müşteri destek yazışmalarını görüntüleme ve güncelleme izinleri verildi.
“Bu hesabın şüpheli kullanımına ilişkin araştırmamız sırasında Okta Security, bir çalışanın Okta tarafından yönetilen dizüstü bilgisayarının Chrome tarayıcısında kişisel Google profilinde oturum açtığını tespit etti.
“Hizmet hesabının kullanıcı adı ve şifresi çalışanın kişisel Google hesabına kaydedilmişti. Bu kimlik bilgilerinin açığa çıkmasının en muhtemel yolu, çalışanın kişisel Google hesabının veya kişisel cihazının ele geçirilmesidir” dedi.
Bradbury şunları ekledi: “Etkilenen müşterilerimizden ve daha genel anlamda kimlik sağlayıcıları olarak Okta’ya güvenen tüm müşterilerimizden özür dileriz. Tüm müşterilerimize güncel bilgiler sağlamaya büyük önem veriyoruz.”
Okta, müşteri destek sağlayıcısı günlüklerinde indirilen dosyaların tespit edilememesi nedeniyle soruşturmasının karmaşık hale geldiğini söyledi. Bunun nedeni, bir kullanıcı destek dosyalarını açıp görüntülediğinde sistemin belirli bir günlük olayı ve kayıt kimliği oluşturması ve bunu dosyaya bağlamasıdır; ancak kullanıcı doğrudan müşteri destek sistemindeki Dosyalar sekmesine giderse (tehdit aktörü bunu yapmıştır). yapın) farklı bir günlük olayı ve farklı bir kayıt kimliği oluştururlar.
Araştırmaları ilk başta destek vakalarına erişime odaklandığından, yani bu vakalarla bağlantılı günlükleri değerlendirdiğinden, Okta’nın bu vakalarla bağlantılı günlükleri değerlendirmesi – BeyondTrust’un Okta’ya saldırganla ilişkilendirebildiği şüpheli bir IP adresi sağlaması – 13 Ekim’e kadar sürdü. ek dosya erişim olaylarını tanımlayın ve bunları güvenliği ihlal edilmiş çalışan hesabına bağlayın.
Aslında Okta, bir süredir kendisiyle iletişime geçen ilk müşteri olan 1Password’ün kötü amaçlı yazılım veya kimlik avı saldırısının kurbanı olduğundan şüphelendiğini söyledi.
Bu, Okta kiracısındaki şüpheli faaliyeti ilk kez 2 Ekim’de bildiren BeyondTrust’un Okta’nın tepkisinin idealden daha yavaş olduğundan şikayet etmesinin ve baş teknoloji sorumlusunun (CTO) Okta’yı bu konuda ikna etmekte zorlandığını açıklamasının bir yolu olabilir. olay kendi sistemlerinden kaynaklanmıştı.
Okta şimdi durumu düzeltmek için ne yaptığının ayrıntılarını yayınladı. Güvenliği ihlal edilen müşteri hizmetleri hesabı devre dışı bırakıldı ve Chrome Enterprise’da, çalışanların Okta tarafından çalıştırılan bir dizüstü bilgisayarda kişisel profille Chrome’da oturum açmasını engelleyen özel bir yapılandırma seçeneği uygulandı. Ayrıca müşteri destek sistemi genelinde ek tespit ve izleme kuralları da uyguladı.
Müşteriler için ek bir adım olarak, Okta yöneticilerine yönelik oturum belirteci hırsızlığı tehdidini azaltmaya yardımcı olmak amacıyla bir ürün geliştirmesi olarak ağ konumuna dayalı oturum belirteci bağlamayı yayınladı. Yöneticiler artık bir ağ değişikliği tespit edildiğinde yeniden kimlik doğrulaması yapacak. Bu özellik varsayılan olarak kullanıma sunulmuyor ancak Okta yönetici portalının erken erişim bölümünde etkinleştirilmesi gerekecek.
Acılar derinleşiyor
Bu arada, Okta’nın siber güvenlik sorunları, 5.000 mevcut ve eski Okta çalışanının isimlerinin, ABD sosyal güvenlik numaralarının ve sağlık sigortası bilgilerinin, üçüncü taraf bir sağlık hizmetleri sağlayıcısı Rightway’e 23 Eylül’de düzenlenen siber saldırıda ele geçirildiğinin keşfedilmesinin ardından derinleşmeye devam ediyor. Sağlık hizmeti.
Etkilenenlere gönderilen ve ilk olarak 2 Kasım’da paylaşılan bir mektupta Okta, ele geçirilen verilerden herhangi birinin kötüye kullanıldığına dair hiçbir kanıt bulunmadığını söyledi.
Etkilenen tüm çalışanlarına, Experian’ın IdentityWorks platformu aracılığıyla iki yıllık kredi izleme, kimlik restorasyonu ve sahtekarlık tespit hizmetleri sunuyor.