Kimlik ve kimlik doğrulama yönetimi sağlayıcısı Okta Cuma günü, son destek vaka yönetimi sistemi ihlalinin 18.400 müşterisinden 134’ünü etkilediğini açıkladı.
Ayrıca, yetkisiz davetsiz misafirin 28 Eylül – 17 Ekim 2023 tarihleri arasında sistemlerine erişim elde ettiğini ve sonuçta oturum ele geçirme saldırıları için kullanılabilecek oturum belirteçleri içeren HAR dosyalarına eriştiğini belirtti.
Okta’nın Güvenlik Müdürü David Bradbury, “Tehdit aktörü, bu oturum tokenlarını 5 müşterinin meşru Okta oturumlarını ele geçirmek için kullanabildi” dedi. söz konusu.
Etkilenenlerden üçü arasında 1Password, BeyondTrust ve Cloudflare yer alıyor. 1Password, 29 Eylül’de şüpheli faaliyet bildiren ilk şirket oldu. 12 Ekim ve 18 Ekim tarihlerinde isimsiz iki müşterinin daha kimliği tespit edildi.
Okta resmen açıkladı güvenlik olayı 20 Ekim’de, tehdit aktörünün Okta’nın destek vaka yönetimi sistemine erişmek için çalınan bir kimlik bilgilerine erişimden yararlandığını belirtti.
Şimdi şirket bunun nasıl gerçekleştiğine dair daha fazla ayrıntı paylaştı.
Okta’nın müşteri destek sistemine erişimin, sistemin kendisinde depolanan ve müşteri destek vakalarını görüntüleme ve güncelleme ayrıcalıklarına sahip bir hizmet hesabını kötüye kullandığı belirtildi.
Daha ayrıntılı araştırmalar, hizmet hesabının kullanıcı adının ve şifresinin bir çalışanın kişisel Google hesabına kaydedildiğini ve kişinin, Okta tarafından yönetilen dizüstü bilgisayarının Chrome web tarayıcısını kullanarak kişisel hesabında oturum açtığını ortaya çıkardı.
Bradbury, “Bu kimlik bilgilerinin açığa çıkmasının en muhtemel yolu, çalışanın kişisel Google hesabının veya kişisel cihazının ele geçirilmesidir” dedi.
Okta, daha sonra etkilenen müşteriler tarafından paylaşılan HAR dosyalarına yerleştirilmiş oturum belirteçlerini iptal etti ve güvenliği ihlal edilen hizmet hesabını devre dışı bıraktı.
Ayrıca Google Chrome’un kurumsal sürümlerinde kişisel Google profillerinin kullanımını da engelleyerek çalışanlarının Okta tarafından yönetilen dizüstü bilgisayarlarda kişisel hesaplarında oturum açmasını engelledi.
Bradbury, “Okta, Okta yöneticilerine yönelik oturum belirteci hırsızlığı tehdidiyle mücadele etmek için bir ürün geliştirmesi olarak ağ konumuna dayalı oturum belirteci bağlamayı yayınladı” dedi.
“Bir ağ değişikliği tespit edersek Okta yöneticileri artık yeniden kimlik doğrulaması yapmak zorunda kalacak. Bu özellik, müşteriler tarafından Okta yönetici portalının erken erişim bölümünde etkinleştirilebilir.”
Gelişme Okta’dan günler sonra geldi açıklığa kavuşmuş sağlık sigortası sağlayıcısı Rightway Healthcare’in 23 Eylül 2023’te ihlal edilmesinin ardından 4.961 mevcut ve eski çalışana ait kişisel bilgilerin açığa çıktığını söyledi. Ele geçirilen veriler arasında isimler, Sosyal Güvenlik numaraları ve sağlık veya sağlık sigortası planları yer alıyordu.