Okta, geçen ay müşteri destek sistemini ihlal eden saldırganların 134 müşteriye ait dosyalara erişim kazandığını ve beşi daha sonra çalıntı oturum tokenlerinin yardımıyla oturum kaçırma saldırılarını hedef aldığını söyledi.
Okta, "28 Eylül 2023'ten 17 Ekim 2023'e kadar, bir tehdit oyuncusu OKTA'nın 134 OKTA müşterisi ile ilişkili müşteri destek sistemi içindeki dosyalara yetkisiz erişim sağladı veya OKTA müşterilerinin% 1'inden daha azı."
"Bu dosyaların bazıları, oturum kaçırma saldırıları için kullanılabilecek oturum jetonları içeren HAR dosyalarıydı. Tehdit oyuncusu, 3'ü kendilerini paylaşan 5 müşterinin meşru Okta oturumlarını ele geçirmek için bu oturum belirteçlerini kullanabildi. Bu olaya yanıt. "
Şirketin Ekim güvenlik ihlali nedeniyle hedeflendiklerini açıklayan üç OKTA müşterisi, 1Password, BeyondRust ve CloudFlare'dir. Hepsi, şirket içi OKTA Yönetici hesaplarına giriş yapmak için yetkisiz girişimleri tespit ettikten sonra OKTA'ya şüpheli etkinlik hakkında bilgi verdiler.
29 Eylül'deki oturum kaçırma girişimleri konusunda uyarılmasına rağmen, Okta, etkilenen üç müşteri ile yapılan birden fazla toplantıdan sonra destek sistemlerindeki ihlali resmi olarak doğrulamak için iki hafta geçti.
OKTA'nın destek sistemini ihlal etmek için, tehdit aktörleri, OKTA tarafından yönetilen bir dizüstü bilgisayar kullanırken kişisel Google profillerine giriş yaptıktan sonra bir çalışanın kişisel Google hesabından çalınan bir destek hizmeti hesabı için kimlik bilgilerini kullandı.
OKTA, saldırganların hizmet hesabı kimlik bilgilerini nasıl çaldığını paylaşmasa da, şirket "bu kimlik bilgilerinin maruz kalması için en olası yolun çalışanın kişisel Google hesabının veya kişisel cihazının uzlaşması olduğunu" söyledi.
İhlallere yanıt olarak OKTA, tehlikeye atılan hizmet hesabını devre dışı bırakmak, OKTA ile yönetilen cihazlarda Google Chrome ile kişisel Google Profillerinin kullanımını engellemek, müşterisi için ek algılama ve izleme kuralları da dahil olmak üzere, gelecekte benzer olayları önlemek için birden fazla önlem aldı. Destek sistemi ve OKTA Yönetici Oturum Jetonlarını Ağ Konumuna göre bağlama.
Okta, makale yayınlandıktan sonra BleepingComputer'a verdiği demeçte, "Bulgularımızın tüm müşterilerini bilgilendirdik ve tüm müşterilerimizi korumak için iyileştirmeler tamamladık. Okta'ya kimlik sağlayıcısı olarak güvenen tüm müşterilerimizden özür dileriz." Dedi.
Bu haftanın başlarında, Okta yaklaşık 5.000 mevcut ve eski çalışanı, sağlık hizmeti sağlayıcısı Rightway Healthcare'in 23 Eylül'de ihlal edildikten sonra kişisel bilgilerinin maruz kaldığı konusunda uyardı.
Bu üçüncü taraf ihlalinde maruz kalan hassas bilgiler, çalışanların tam adlarını, Sosyal Güvenlik numaralarını (SSN'ler) ve sağlık veya sağlık sigortası planı numaralarını içerir.
Son iki yılda Okta, kimlik bilgisi hırsızlığı ve sosyal mühendislik saldırıları nedeniyle başka bir ihlal daha yaşadı.
Aralık 2022'de OKTA, bilgisayar korsanlarının özel GitHub depolarında saklanan gizli kaynak kodu bilgilerine eriştiği bir güvenlik ihlali kabul etti.
Lapsus $ gasp grubu, daha sonra OKTA tarafından doğrulanan bir olay olan Mart 2022'de daha önce benzer bir hack talep etmişti. İhlal, şirketin müşteri tabanının yaklaşık% 2,5'ini etkiledi.
OKTA iştiraki Auth0 ayrıca, bazı eski kaynak kodu depolarının içeriğinin bilinmeyen bir yöntem kullanılarak bilinmeyen saldırganlar tarafından çalındığını açıkladı.
Güncelleme 03 Kasım, 10:45 EDT: Okta'dan ifade eklendi.
Siber casusluk için ihlal edilen uluslararası ceza mahkemesi sistemleri
Okta, destek sisteminin çalınan kimlik bilgileri kullanılarak ihlal edildiğini söylüyor
Transunion, saldırıya uğradığını reddediyor, bağlantılar sızdırılan verileri 3. tarafa
Bilgisayar korsanları geçen hafta uluslararası ceza mahkemesinin sistemlerini ihlal etti
İpotek devi Bay Cooper, Cyberattack tarafından vurulan Systems
Kaynak: Bleeping Computer