OKTA'nın geçen ay yardım merkezi ortamının ihlali hakkındaki soruşturması, bilgisayar korsanlarının tüm müşteri destek sistemi kullanıcılarına ait verileri aldığını ortaya koydu.
Şirket, Tehdit Oyuncularının ayrıca tüm OKTA sertifikalı kullanıcıların tüm iletişim bilgileri için iletişim bilgileri olan ek raporlara ve destek vakalarına eriştiğini belirtiyor.
Kasım ayının başında şirket, bir tehdit oyuncunun müşteri destek sistemi içindeki dosyalara yetkisiz erişim elde ettiğini ve erken kanıtların sınırlı bir veri ihlali olduğunu gösterdiğini açıkladı.
O zamanlar ortaya çıkarılan ayrıntılara göre, bilgisayar korsanı, şirket müşterilerinin% 1'inden daha azı, meşru kullanıcıların OKTA oturumlarını ele geçirmek için kullanılabilecek 134 müşteri için çerez ve oturum jetonları ile HAR dosyalarına erişti.
Saldırının daha fazla araştırılması, tehdit oyuncusunun "tüm Okta Müşteri Destek Sistemi kullanıcılarının isimlerini ve e -posta adreslerini içeren bir rapor indirdiğini" ortaya koydu.
"Tüm Okta İş Gücü Kimlik Bulutu (WIC) ve Müşteri Kimlik Çözümü (CIS) müşterileri, FedRamp High ve DoD IL4 ortamlarımızdaki müşteriler dışında etkilenir (bu ortamlar, tehdit oyuncusu tarafından erişilmeyen ayrı bir destek sistemi kullanır). Auth0/CIC Destek Vaka yönetim sistemi de bu olaydan etkilenmedi "- Okta
Şirkete göre, çalınan raporu tam ad, kullanıcı adı, e -posta, şirket adı, kullanıcı türü, adres, son şifre değiştirme/sıfırlama, rol, telefon numarası, cep telefonu numarası, saat dilimi ve SAML Federasyon Kimliği için alanları içeriyordu.
Ancak OKTA, raporda listelenen kullanıcıların% 99,6'sının mevcut tek iletişim bilgilerinin tam ad ve e -posta adresi olduğunu açıklığa kavuşturmaktadır. Ayrıca şirket, kimlik bilgilerinin ortaya çıkmadığından emin oldu.
OKTA'nın ifadesi, maruz kalan kullanıcıların çoğunun yönetici olduğunu ve bunların% 6'sının yetkisiz giriş girişimlerine karşı çok faktörlü kimlik doğrulama savunmasını etkinleştirmediğini belirtiyor.
Şirket, davetsiz misafirlerin "OKTA Sertifikalı Kullanıcılar ve Bazı OKTA Müşteri Kimlik Bulutu (CIC) Müşteri Kişileri" nden OKTA çalışanları ayrıntılarının verilerine eriştiğini belirtiyor.
"Ayrıca, tüm OKTA sertifikalı kullanıcılarının ve bazı Okta Müşteri Kimlik Bulutu (CIC) müşteri kişilerinin iletişim bilgilerini içeren tehdit aktörünün eriştiği ek raporlar ve destek durumları da belirledik. Bazı Okta çalışanları bu raporlara da dahil edildi. Bu iletişim bilgileri kullanıcı kimlik bilgilerini veya hassas kişisel verileri içermez " - Okta
Çoğu zaman, isimler ve e -postalar, bir tehdit aktörünün keşif aşamalarında onlara hizmet edebilecek veya daha karmaşık bir saldırı hazırlamak için daha fazla ayrıntı elde etmelerine yardımcı olabilecek kimlik avı veya sosyal mühendislik saldırıları başlatması için yeterlidir.
Potansiyel saldırılara karşı korumak için Okta aşağıdakileri önerir:
Okta, geçen Aralık ayında bilgisayar korsanları şirketin özel Github depolarından kaynak koduna eriştiği için son iki yılda kimlik hırsızlığı ve sosyal mühendislik saldırılarının bir hedefi oldu.
Ocak 2022'de bilgisayar korsanları, müşteriler için şifre sıfırlamaları başlatmak için ayrıcalıklarla bir OKTA destek mühendisinin dizüstü bilgisayarına erişti. Olay, şirketin müşteri tabanının% 2,5'ini temsil eden yaklaşık 375 müşteriyi etkiledi.
Lapsus $ gasp grubu saldırıyı talep etti ve OKTA.com'a "süper kullanıcı/yönetici" erişimine sahip olduklarını ve müşteri verilerine erişebileceğini gösteren ekran görüntüleri.
OKTA, çalışan bilgilerini ortaya çıkaran üçüncü taraf veri ihlali tarafından vuruldu
FTC, banka dışı finansal firmaların 30 gün içinde ihlalleri bildirmelerini sipariş ediyor
Fidye yazılımı gitmiyor - sorun sadece kötüleşiyor
1Password, OKTA ihlali ile bağlantılı güvenlik olayını açıklar
Okta, destek sisteminin çalınan kimlik bilgileri kullanılarak ihlal edildiğini söylüyor
Kaynak: Bleeping Computer