ABD’li erişim ve kimlik yönetimi devi Okta, daha önce müşterilerin yalnızca bir kısmının etkilendiğini belirtmesine rağmen, bilgisayar korsanlarının destek sistemlerinde yakın zamanda meydana gelen bir ihlal sırasında tüm müşterileri hakkındaki verileri çaldığını söyledi.
Okta Ekim ayında bir bilgisayar korsanının destek vaka yönetim sistemine erişmek için çalıntı bir kimlik bilgisi kullandığını ve Okta müşterilerinin ağlarına sızmak için kullanılabilecek müşteri tarafından yüklenen oturum belirteçlerini çaldığını doğruladı. Okta, TechCrunch’a müşterilerin yaklaşık %1’inin veya 134 kuruluşun bu ihlalden etkilendiğini söyledi.
İçinde Çarşamba günü yayınlanan bir blog yazısıOkta’nın baş güvenlik sorumlusu David Bradbury, şirketin o zamandan beri tüm müşterilerinin ihlalden etkilendiğini belirlediğini söyledi. Okta sözcüsü Cat Schermann, TechCrunch tarafından sorulduğunda kesin bir rakam vermeyecek ancak şirketin web sitesine göre 1Password, Cloudflare, OpenAI ve T-Mobile dahil olmak üzere Okta’nın yaklaşık 18.000 müşterisi var.
Bradbury, 28 Eylül’de bir bilgisayar korsanının “tüm Okta müşteri destek sistemi kullanıcılarına” ait verileri içeren bir raporu çalıştırıp indirdiğini söyledi. Okta’ya göre bilgisayar korsanları müşterilerin %99,6’sının yalnızca tam adlarına ve e-posta adreslerine erişti; ancak bazı durumlarda telefon numaralarına, kullanıcı adlarına ve bazı çalışan rollerinin ayrıntılarına da erişmiş olabilirler.
Bradbury, “Bu bilgilerin aktif olarak kullanıldığına dair doğrudan bilgimiz veya kanıtımız olmasa da, tehdit aktörünün bu bilgileri kimlik avı veya sosyal mühendislik saldırıları yoluyla Okta müşterilerini hedeflemek için kullanması ihtimali var” dedi. Oktapus olarak da bilinen ünlü Scattered Spider hack grubu, Caesars Entertainment ve MGM Resorts da dahil olmak üzere Okta müşterilerinin hesaplarını hedeflemek için daha önce çeşitli sosyal mühendislik taktiklerinden yararlanmıştı.
Okta, tüm müşterilerine çok faktörlü kimlik doğrulamayı ve fiziksel güvenlik anahtarları gibi kimlik avına karşı dayanıklı kimlik doğrulayıcıları kullanmalarını tavsiye ediyor.
Okta, takip analizinin ayrıca tehdit aktörünün tüm Okta sertifikalı kullanıcıların ve bazı Okta Müşteri Kimlik Bulutu (CIC) müşteri iletişim bilgilerinin iletişim bilgilerini içeren “ek raporlara ve destek vakalarına” eriştiğini belirlediğini söyledi. Bu raporlarda Okta çalışanlarının bazı bilgileri de yer aldı ancak şirket, 6.000 çalışanının kaçının etkilendiğini doğrulamadı.
Okta, kamu müşterilerinin hiçbirinin bu ihlalden etkilenmediğini ve Auth0 destek vaka yönetimi sisteminin etkilenmediğini söyledi.
Okta’nın sistemlerine yönelik son ihlalin ardındaki tehdit aktörlerinin kimliği henüz bilinmiyor.
Bu, Okta’yı etkileyen birçok güvenlik olayının sonuncusu. Geçen yıl şirket, bilgisayar korsanlarının kaynak kodunun bir kısmını çaldığını itiraf etmişti. Yılın başlarında yaşanan ayrı bir olayda, bilgisayar korsanları, Okta’nın müşteri hizmetleri için kullandığı bir şirkete girdikten sonra şirketin iç ağına erişimi gösteren ekran görüntüleri yayınladı.