Bu sonbaharın başlarında meydana gelen Okta ihlalinin sonuçları, bu hafta, tek oturum açma sağlayıcısının daha önce müşteri destek sistemi müşterilerinin %1’ini etkilediğini belirlediği bir olayın aslında hepsini tehlikeye attığını söylemesinin ardından dramatik bir şekilde arttı.
Her Okta müşteri destek sistemi istemcisindeki veriler bir kişi tarafından ifşa edildi. Eylül sonunda siber saldırı, STK David Bradbury Çarşamba günü şunları söyledi: Blog yazısı.
Şirket daha önce tehdit aktörünün 134 müşterinin dosyalarına eriştiğini söylemişti. müşteri tabanının %1’inden azısonuçta beş müşteriyi tehlikeye attı; BeyondTrust, Cloudflare Ve 1Şifre.
Müşterilerin Okta ortamlarındaki şüpheli etkinlikleri ilk kez bildirmelerinden iki ay sonra şirket, tehdit aktörünün 28 Eylül’de tüm Okta müşteri destek sistemi kullanıcılarının adlarını ve e-posta adreslerini içeren bir rapor yayınladığının belirlendiğini söyledi.
Okta, etkilenen toplam müşteri sayısına ilişkin soruya yanıt vermedi. Şirket, Ekim ayında 18.400’den fazla ticari müşterisinin olduğunu söyledi.
Bradbury blog yazısında “Rapordaki alanların çoğu boş ve rapor kullanıcı kimlik bilgilerini veya hassas kişisel verileri içermiyor” dedi.
Elde edilen hedefler
Pek çok Okta destek sistemi kullanıcısı, kuruluşlarının Okta yöneticileridir ve bu da olası takip saldırıları riskini artırır.
Bradbury, “Bu bilgilerin aktif olarak kullanıldığına dair doğrudan bilgimiz veya kanıtımız olmasa da, tehdit aktörünün bu bilgileri kimlik avı veya sosyal mühendislik saldırıları yoluyla Okta müşterilerini hedeflemek için kullanması ihtimali var” dedi.
Okta’nın 3 Kasım’daki güncellemede saldırının kapsamının sınırlı olduğunu bildirmesinin ardından güvenlik personeli, ilk analizde tehdit aktörünün müşteri destek sistemi içinde çalıştırdığı büyük bir dosyayı gözden kaçırdığını belirledi.
“Bradbury, ilk analizimizdeki tutarsızlığın, tehdit aktörünün raporu filtrelenmemiş bir şekilde görüntülemesinden kaynaklandığını söyledi.
Okta, tehdit aktörünün eriştiği ek raporlar ve destek vakaları keşfetti ve bu da tehditlere maruz kalma olasılığını daha da artırdı tüm Okta Workforce Identity Cloud ve Müşteri Kimlik Çözümü müşterileri. Şirket, Okta’nın FedRamp High ve Savunma Bakanlığı IL4 ortamlarını kullanan devlet kurumu müşterilerinin etkilenmediğini söyledi.
“Bu raporlarda bazı Okta çalışanlarının bilgileri de yer alıyordu. Bradbury, bu iletişim bilgilerinin kullanıcı kimlik bilgilerini veya hassas kişisel verileri içermediğini söyledi.
Geniş çaplı olay, Temmuz ayı sonundan bu yana kimlik ve erişim yönetimi sağlayıcısına veya müşterilerinin Okta ortamlarına yönelik ikinci saldırı dizisine işaret ediyor.
Okta, bulgularını doğrulamak için harici bir dijital adli tıp firmasıyla çalıştığını ve tamamlandığında raporu müşterilerle paylaşmayı planladığını söyledi.