Η
Okta
λέει ό
τι
οι εισβολείς είχαν πρόσβαση σε αρχεία που περιέχουν cookies και διακριτικά περιόδου σύνδεσης που ανέβασαν πελάτες στο σύστημα διαχείρισης υποστήριξής της αφού το παραβίασαν χρησιμοποιώντας κλεμμένα διαπιστευτήρια.
“Ο παράγοντας απειλών μπόρεσε να δει αρχεία που ανέβασαν ορισμένοι πελάτες της Okta ως μέρος πρόσφατων υποθέσεων υποστήριξης.”
είπε
Ο Διευθυντής Ασφαλείας της Okta, Ντέιβιντ Μπράντμπερι.
«Θα πρέπει να σημειωθεί ότι το σύστημα διαχείρισης υποθέσεων υποστήριξης Okta είναι ξεχωριστό από την υπηρεσία παραγωγής Okta, η οποία είναι πλήρως λειτουργική και δεν έχει επηρεαστεί».
Η CSO της Okta πρόσθεσε ότι αυτό το περιστατικό δεν επηρέασε το σύστημα διαχείρισης υποθέσεων Auth0/CIC. Η Okta ειδοποίησε όλους τους πελάτες των οποίων το περιβάλλον ή τα εισιτήρια υποστήριξης της Okta επηρεάστηκαν από το συμβάν. Όσοι δεν έχουν λάβει ειδοποίηση δεν επηρεάζονται.
Τα κουπόνια και τα cookie περιόδου λειτουργίας πιθανότατα εκτίθενται στην επίθεση
Ενώ η εταιρεία δεν έχει δώσει ακόμη λεπτομέρειες σχετικά με το ποιες πληροφορίες πελατών εκτέθηκαν ή είχαν πρόσβαση στην παραβίαση, το σύστημα διαχείρισης υποθέσεων υποστήριξης που παραβιάστηκε σε αυτήν την επίθεση χρησιμοποιήθηκε επίσης για την αποθήκευση αρχείων HTTP Archive (HAR) που χρησιμοποιούνται για την αναπαραγωγή σφαλμάτων χρήστη ή διαχειριστή για την αντιμετώπιση προβλημάτων ζητήματα που αναφέρθηκαν από τους χρήστες.
Περιέχουν επίσης ευαίσθητα δεδομένα, όπως cookies και κουπόνια συνεδρίας, τα οποία οι φορείς απειλών θα μπορούσαν να χρησιμοποιήσουν για να παραβιάσουν λογαριασμούς πελατών.
“Τα αρχεία HAR αντιπροσωπεύουν μια καταγραφή της δραστηριότητας του προγράμματος περιήγησης και πιθανώς περιέχουν ευαίσθητα δεδομένα, συμπεριλαμβανομένου του περιεχομένου των σελίδων που επισκέφθηκαν, κεφαλίδων, cookies και άλλων δεδομένων,” Okta
εξηγεί
στην πύλη υποστήριξής του.
“Ενώ αυτό επιτρέπει στο προσωπικό της Okta να αναπαράγει τη δραστηριότητα του προγράμματος περιήγησης και να αντιμετωπίζει προβλήματα, κακόβουλοι ηθοποιοί θα μπορούσαν να χρησιμοποιήσουν αυτά τα αρχεία για να πλαστοπροσωπήσουν εσάς.”
Η εταιρεία συνεργάστηκε με πελάτες που επηρεάστηκαν κατά τη διάρκεια της έρευνας του συμβάντος και ανακάλεσε τα διακριτικά περιόδου λειτουργίας που ήταν ενσωματωμένα σε κοινόχρηστα αρχεία HAR. Τώρα συμβουλεύει όλους τους πελάτες να απολυμάνουν τα αρχεία τους HAR πριν τα κοινοποιήσουν, διασφαλίζοντας ότι δεν περιλαμβάνουν διαπιστευτήρια και cookies/κουπόνια περιόδου σύνδεσης.
Η Okta μοιράστηκε επίσης μια λίστα με δείκτες συμβιβασμού που παρατηρήθηκαν κατά τη διάρκεια της έρευνας, συμπεριλαμβανομένων των διευθύνσεων IP και του προγράμματος περιήγησης ιστού πληροφοριών παράγοντα χρήστη που συνδέονται με τους εισβολείς.
Πολλαπλά περιστατικά ασφαλείας σε λιγότερο από 2 χρόνια
Πέρυσι, η Okta αποκάλυψε ότι ορισμένα από τα δεδομένα των πελατών της αποκαλύφθηκαν αφού η ομάδα εκβίασης δεδομένων Lapsus$ απέκτησε πρόσβαση στις διαχειριστικές της κονσόλες τον Ιανουάριο του 2022.
Οι εφάπαξ κωδικοί πρόσβασης (OTP) που παραδόθηκαν στους πελάτες της Okta μέσω SMS κλάπηκαν επίσης από την ομάδα απειλών Scatter Swine (γνωστός και ως
0ktapus
), η οποία παραβίασε την εταιρεία επικοινωνιών
cloud
Twilio τον Αύγουστο του 2022.
Ο πάροχος υπηρεσιών ελέγχου ταυτότητας Auth0 που ανήκει στην Okta αποκάλυψε επίσης τον Σεπτέμβριο ότι ορισμένα παλαιότερα αποθετήρια πηγαίου κώδικα είχαν κλαπεί από το περιβάλλον του χρησιμοποιώντας μια άγνωστη μέθοδο.
Η Okta αποκάλυψε το δικό της περιστατικό κλοπής πηγαίου κώδικα τον Δεκέμβριο μετά την παραβίαση των ιδιωτικών αποθετηρίων GitHub της εταιρείας.
VIA:
bleepingcomputer.com
