Okta, tehdit aktörlerinin müşteri destek sistemini ihlal edebildiğini ve 134 müşterisiyle ilgili dosyaları çalabildiğini doğruladı; bu, kimlik ve erişim yönetimi (IAM) şirketinin toplam kadrosunun %1’inden daha azını oluşturuyor. Okta, siber saldırganların çalınan verilerle aralarında BeyondTrust, 1Password ve Cloudflare’in de bulunduğu beş belirli müşteriyi hedef aldığını söylüyor.
Okta’nın güvenlik şefi David Bradbury, bu hafta olayla ilgili ayrıntılı bir blog yazısında, çalınan müşteri destek dosyalarının oturum belirteçleri içeren HAR dosyaları olduğunu açıkladı.
Saldırıyla ilgili yapılan bir soruşturma, bir Okta çalışanının kimlik bilgilerinin kişisel bir cihazda ele geçirildiğini ve bunun muhtemelen ilk ihlale yol açtığını ortaya çıkardı.
“Bu hesabın şüpheli kullanımına ilişkin araştırmamız sırasında Okta Security, bir çalışanın Okta tarafından yönetilen dizüstü bilgisayarının Chrome tarayıcısında kişisel Google profilinde oturum açtığını tespit etti” diye açıkladı Bradbury. “Hizmet hesabının kullanıcı adı ve şifresi, çalışanın kişisel Google hesabına kaydedildi.”
Okta tarafından sağlanan olayların zaman çizelgesine göre 1Password, 29 Eylül’de Okta’ya şüpheli etkinlik raporuyla ulaşan ilk müşteriydi. 2 Ekim itibarıyla BeyondTrust da benzer bir sorun bildirmişti. Bradbury, bu risk göstergelerini ve ilgili IP adreslerini kullanarak ekibinin Cloudflare dahil diğer hedeflenen müşterileri tespit edebildiğini söyledi.
Güvenliği ihlal edilmiş HAR dosyalarına yerleştirilmiş, etkilenen tüm oturum belirteçleri daha sonra iptal edildi.
Okta ayrıca kişisel bir Google hesabı kullanılarak Okta tarafından yönetilen dizüstü bilgisayarlarda ileride yapılacak Google Chrome oturum açma işlemlerini engelleme adımını da attı. Bradbury ayrıca şirketin Okta yönetici tokenlarını ağ konum verilerine bağlayan bir özellik eklediğini ekledi.
“Okta, Okta yöneticilerine yönelik oturum belirteci hırsızlığı tehdidiyle mücadele etmek için bir ürün geliştirmesi olarak ağ konumuna dayalı oturum belirteci bağlamayı yayınladı,” diye güvence verdi Bradbury, Okta müşterilerine güvence verdi. “Okta yöneticileri artık bir ağ değişikliği tespit edersek yeniden kimlik doğrulaması yapmak zorunda kalacak.”
Okta’nın ayrıntılı açıklaması, MGM Resorts’un ihlal edilmesi de dahil olmak üzere şirketin başına bela olan bir dizi acımasız siber güvenlik olayının ardından geldi. Son zamanlarda Okta’nın çalışan verileri üçüncü taraf bir sağlık hizmeti tedarikçisi aracılığıyla ele geçirildi.