Okta, Eylül ayı sonunda gerçekleşen veri ihlalinin kapsamını hafife aldığını keşfetti.
Şirket, ihlalin tam boyutuna dair bir rakam belirlemedi ancak kök neden analizine ilişkin yakın zamanda yayınlanan bir güncellemede Okta, “tüm müşteri destek sistemi kullanıcılarının” ihlalde kişisel bilgilerinin sızdırıldığını söyledi.
Daha önceki bir gönderide Okta’nın CISO’su David Bradbury, yalnızca 134 kişinin, yani müşterilerinin yüzde birinden azının saldırıya uğradığını söylemişti.
İhlal, “FedRamp High ve DoD IL4 ortamlarımızdaki müşteriler hariç” Okta’nın iş gücü kimlik bulutu (WIC) ve müşteri kimlik çözümü (CIS) ürünlerinin kullanıcılarını kapsıyor.
Ayrıca Auth0/CIC vaka yönetimi sistemi de etkilenmedi.
Bradbury’nin son gönderisinde, saldırganın çoğu kayıt için boş olan 15 alan içeren bir rapor oluşturduğu belirtildi: “Rapordaki kullanıcıların yüzde 99,6’sı için kaydedilen tek iletişim bilgisi tam ad ve e-posta adresidir.”
Okta, raporun kullanıcı kimlik bilgilerini veya hassas kişisel verileri içermediğini söyledi.
Okta, müşteri destek sisteminin tüm kullanıcılarının çok faktörlü kimlik doğrulamasını uygulamasını tavsiye ediyor (yazıda belirtilene göre yüzde 94’ü zaten buna sahip).
Önerilen diğer azaltımlar arasında oturum bağlamanın uygulanması (bir yöneticinin oturumu birden fazla Otonom Sistem numarasında yeniden kullanılıyorsa yeniden kimlik doğrulama gerektirir); yönetici oturumu zaman aşımları; ve kimlik avı farkındalığı.
Okta, 28 Eylül’de başlayan orijinal saldırıda tehdit aktörünün, oturum belirteçleri içeren HAR dosyaları da dahil olmak üzere 134 müşteriyle ilişkili dosyalara eriştiğini söyledi.
Daha sonra bu tokenları kullanarak beş müşterinin oturumlarını ele geçirdiler ve saldırgana raporu çalıştırmak için kullandıkları erişimi sağladılar.
Tehdit aktörü büyük olasılıkla saldırıyı bir Okta çalışanının kişisel Google hesabında saklanan kimlik bilgilerini kullanarak başlattı.