Hackerlar, Okta'nın destek biriminden erişim tokenlarını çaldı

 (krebsonsecurity.com)
1 puan yazan GN⁺ 2023-10-22 | 1 yorum | WhatsApp'ta paylaş
  • Çok faktörlü kimlik doğrulama ve tek oturum açma gibi kimlik araçları sunan Okta, müşteri destek birimiyle bağlantılı bir güvenlik ihlali yaşadı.
  • Bu ihlal "çok az sayıda" müşteriyi etkiledi, ancak saldırganlar erişim tamamen engellenmeden önce en az 2 hafta boyunca Okta'nın destek platformuna erişebildi.
  • Saldırganlar çalınan kimlik bilgilerine erişerek Okta'nın destek vaka yönetim sistemine girdi; bu sayede Okta müşterilerinin yakın tarihli destek vakalarının bir parçası olarak yüklediği dosyaları görebildiler.
  • Okta, sorun gidermek için müşterilerden sık sık HTTP Archive (HAR) dosyaları ister. Bu dosyalar çerezler ve oturum tokenları gibi hassas bilgiler içerebilir; saldırganlar bunları kullanarak geçerli kullanıcıları taklit edebilir.
  • Okta, yerleşik oturum tokenlarının iptali dahil müşterileri korumaya yönelik adımlar attı ve HAR dosyaları paylaşılmadan önce tüm kimlik bilgilerinin ve çerez/oturum tokenlarının temizlenmesini tavsiye ediyor.
  • Okta müşterisi BeyondTrust, Okta duyurusunu yayımlamadan iki hafta önce Okta'yı olası bir sorun hakkında uyarmıştı. BeyondTrust, mühendislerinden birine atanmış bir Okta hesabı kullanılarak kendi Okta ortamında bir yönetici hesabı oluşturma girişimi tespit etti.
  • Okta başlangıçta BeyondTrust'ın uyarısının kendi sistemlerindeki bir ihlalden kaynaklandığını düşünmedi, ancak 17 Ekim itibarıyla olayı tespit edip engelledi.
  • Okta'nın yardımcı bilgi güvenliği sorumlusu Charlotte Wylie, olası güvenlik sorununa dair uyarı alan müşteri sayısını net olarak açıklamadı, ancak bunu 18.000'den fazla müşteri içinde "çok, çok küçük bir bölüm" olarak tanımladı.
  • Bu ihlal, yakın zamanda Caesar’s Entertainment ve MGM Resorts'a yönelik saldırıların ardından gerçekleşti; saldırganlar bu olaylarda Okta yönetici hesapları için çok faktörlü oturum açma gereksinimlerini sıfırlamayı başarmıştı.
  • Okta, bu ihlalin arkasındaki düşmanın daha önce Okta ve müşterilerini hedef almış bilinen bir tehdit aktörü olduğuna inanıyor.
  • Okta, olayla ilgili bir blog yazısı yayımladı ve müşterilerin etkilenip etkilenmediğini kontrol edebilmesi için "ihlalin göstergeleri" paylaştı. Şirket, etkilenen tüm müşterilere bildirim gönderdiğinden emin olduğunu söylüyor.

İlgili okumalar

1 yorum

 
GN⁺ 2023-10-22
Hacker News görüşleri
  • Siber güvenlik şirketi Okta, BeyondTrust'tan şüpheli faaliyetlere ilişkin bir bildirim aldı, ancak başlangıçta bir ihlal izi bulamadı.
  • Okta, ancak BeyondTrust'ın ısrarlı iddialarının ardından ihlali doğrulayıp engelledi.
  • Okta'nın olayla ilgili blog yazısında üçüncü taraf uyarısından bahsedilmemesi, şeffaflık konusunda endişe yarattı.
  • Okta'nın yardımcı baş bilgi güvenliği sorumlusu Charlotte Wylie, şirketin başlangıçta BeyondTrust'ın uyarısını dikkate almadığını ancak daha sonra ihlali doğruladığını teyit etti.
  • İhlalin kabul edilmesi ve müdahale edilmesindeki gecikme eleştirildi; bu durum özellikle Okta'nın siber güvenlik ve kimlik doğrulama uzmanı rolü göz önüne alındığında dikkat çekti.
  • Bazı yorumlarda, SSO, OAuth, SAML ve 2FA gibi kritik geçit bekçilerinin Okta gibi SaaS çözümlerine bağımlı olmak yerine şirket içi ortamda çalıştırılması gerektiği öne sürülüyor.
  • Kimlik sağlayıcıları, parola yöneticileri ve VPN şirketlerinin, güvenlik rolleri nedeniyle asla hacklenmemesi gerektiğine dair genel bir beklenti var.
  • Bazı kullanıcılar, Okta'nın destek personelini dış kaynak kullanımıyla çalıştırma kararına ilişkin endişelerini dile getiriyor ve bunun doğurabileceği olası güvenlik risklerine dikkat çekiyor.
  • Okta'nın rakibi Auth0'ı satın almasına ilişkin görüşler karışık; bazı kullanıcılar kimlik/kimlik doğrulama sağlayıcılarının merkezileşmesinden endişe duyuyor.
  • Bazı kullanıcılar güvenilir, merkezi bir kimlik/kimlik doğrulama sağlayıcısı için öneri arıyor.