Kimlik hizmetleri sağlayıcısı Okta Ekim 2023’te destek vaka yönetimi sisteminin ihlaliyle bağlantılı olarak “ek tehdit aktörü faaliyeti” tespit ettiğini açıkladı.
Şirket, The Hacker News ile paylaştığı açıklamada, “Tehdit aktörü, tüm Okta müşteri destek sistemi kullanıcılarının adlarını ve e-posta adreslerini indirdi” dedi.
“FedRamp High ve DoD IL4 ortamlarımızdaki müşteriler hariç tüm Okta Workforce Identity Cloud (WIC) ve Customer Identity Solution (CIS) müşterileri etkilenmektedir (bu ortamlar, tehdit aktörü tarafından ERİŞİLMEYEN ayrı bir destek sistemi kullanır). Auth0/CIC desteği Vaka yönetim sistemi bu olaydan etkilenmedi.”
İhlalin kapsamının genişletildiğine dair haberler ilk rapor edildi Bloomberg tarafından.
Şirket ayrıca yayına, çalınan bilgilerin aktif olarak kötüye kullanıldığına dair herhangi bir kanıt olmamasına rağmen, tüm müşterileri potansiyel kimlik avı ve sosyal mühendislik riskleri konusunda bilgilendirme adımını attığını söyledi.
Ayrıca “platformlarımıza yeni güvenlik özellikleri eklendiğini ve müşterilerimize Okta yöneticilerine yönelik potansiyel hedefli saldırılara karşı korunmaları için özel öneriler sağladığını” da belirtti.
Soruşturmasını desteklemek için bir dijital adli tıp firmasının yardımına başvuran Okta, ayrıca “bilgileri indirilen kişilere de bildirimde bulunacağını” söyledi.
Bu gelişme, kimlik ve kimlik doğrulama yönetimi sağlayıcısının 28 Eylül ile 17 Ekim 2023 arasında gerçekleşen ihlalin 18.400 müşterisinin %1’ini (yani 134’ünü) etkilediğini söylemesinden üç haftadan fazla bir süre sonra gerçekleşti.
Okta’nın sistemlerine yönelik saldırının ardındaki tehdit aktörlerinin kimliği şu anda bilinmiyor; ancak Scattered Spider adlı kötü şöhretli bir siber suç grubu, karmaşık sosyal mühendislik saldırıları gerçekleştirerek yüksek yönetici izinleri elde etmek için Ağustos 2023 gibi yakın bir tarihte şirketi hedef aldı.
ReliaQuest tarafından geçen hafta yayınlanan bir rapora göre, Scattered Spider isimsiz bir şirkete sızdı ve Okta tek oturum açma (SSO) aracılığıyla bir BT yöneticisinin hesabına erişim sağladı ve ardından hizmet olarak kimlikten (IDaaS) yatay olarak geçiş yaptı. sağlayıcının şirket içi varlıklarına bir saatten daha kısa sürede erişmesini sağlar.
Bu zorlu ve çevik düşman, son aylarda BlackCat fidye yazılımı operasyonunun bir bağlı kuruluşuna da dönüşerek buluta ve şirket içi ortamlara sızarak yasa dışı kar elde etmek amacıyla dosya şifreleyen kötü amaçlı yazılımlar dağıttı.
ReliaQuest araştırmacısı James Xiang, “Grubun devam eden faaliyetleri, yüksek vasıflı bir tehdit aktörünün veya grubunun bulut ve şirket içi ortamlar hakkında karmaşık bir anlayışa sahip olma yeteneklerinin bir kanıtıdır ve bu onların çok yönlü bir şekilde gezinmelerine olanak tanır.” söz konusu.