Okta, geçen ay müşteri destek sistemini ihlal eden saldırganların 134 müşteriye ait dosyalara erişim sağladığını, bunlardan beşinin daha sonra çalınan oturum tokenları yardımıyla oturum ele geçirme saldırılarının hedefi olduğunu söyledi.
Okta: “28 Eylül 2023’ten 17 Ekim 2023’e kadar bir tehdit aktörü, Okta’nın müşteri destek sistemi içindeki 134 Okta müşterisiyle veya Okta müşterilerinin %1’inden azıyla ilişkili dosyalara yetkisiz erişim elde etti. Bu dosyalardan bazıları, oturum ele geçirme saldırıları için kullanılabilecek oturum belirteçleri içeren HAR dosyalarıydı. Tehdit aktörü, bu oturum belirteçlerini, 3’ü kendi oturumunu paylaşan 5 müşterinin meşru Okta oturumlarını ele geçirmek için kullanabildi” dedi.
Şirketin Ekim ayı güvenlik ihlali nedeniyle hedef alındıklarını açıklayan üç Okta müşterisi 1Password, BeyondTrust ve Cloudflare Hepsi, şirket içi Okta yönetici hesaplarına izinsiz giriş yapma girişimlerini tespit ettikten sonra şüpheli etkinlik konusunda Okta’yı bilgilendirdi. 29 Eylül’de oturum ele geçirme girişimleri konusunda uyarılmasına rağmen Okta’nın, etkilenen üç müşteriyle yaptığı çok sayıda toplantının ardından destek sistemindeki ihlali resmi olarak onaylaması iki haftadan fazla zaman aldı.
Tehdit aktörleri, Okta’nın destek sistemini ihlal etmek için, Okta tarafından yönetilen bir dizüstü bilgisayar kullanarak kişisel Google profiline giriş yapan bir çalışanın kişisel Google hesabından çalınan bir destek hizmeti hesabının kimlik bilgilerini kullandı. Okta, saldırganların hizmet hesabı kimlik bilgilerini nasıl çaldığını paylaşmasa da şirket, “bu kimlik bilgilerinin açığa çıkmasının en olası yolu, çalışanın kişisel Google hesabının veya kişisel cihazının ele geçirilmesi” dedi.
İhlale yanıt olarak Okta, gelecekte benzer olayları önlemek için, ele geçirilen hizmet hesabının devre dışı bırakılması, kişisel Google profillerinin Okta tarafından yönetilen cihazlarda Google Chrome ile kullanılmasının engellenmesi, müşterisi için ek algılama ve izleme kuralları dağıtılması da dahil olmak üzere çok sayıda önlem aldı. Makale yayınlandıktan sonra Okta: “Bulgularımızı tüm müşterilerimize bildirdik ve tüm müşterilerimizi korumak için iyileştirmeleri tamamladık. Kimlik sağlayıcıları olarak Okta’ya güvenen tüm müşterilerimizden özür dileriz” dedi.