Η έρευνα της Okta για την παραβίαση του περιβάλλοντος του Κέντρου βοήθειας τον περασμένο μήνα αποκάλυψε ότι οι χάκερ απέκτησαν δεδομένα που ανήκαν σε όλους τους χρήστες του συστήματος υποστήριξης πελατών.
Η εταιρεία σημειώνει ότι ο παράγοντας της απειλής είχε επίσης πρόσβαση σε πρόσθετες αναφορές και υποθέσεις υποστήριξης με στοιχεία
επικοινωνία
ς για όλα τα στοιχεία επικοινωνίας όλων των πιστοποιημένων χρηστών της Okta.
Στις αρχές Νοεμβρίου, η εταιρεία αποκάλυψε ότι ένας παράγοντας απειλής είχε αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε αρχεία μέσα στο σύστημα υποστήριξης πελατών της και ότι τα πρώτα στοιχεία έδειχναν περιορισμένη παραβίαση δεδομένων.
Σύμφωνα με λεπτομέρειες που αποκαλύφθηκαν εκείνη την εποχή, ο χάκερ είχε πρόσβαση σε αρχεία HAR με cookies και κουπόνια συνεδρίας για 134 πελάτες – λιγότερο από το 1% των πελατών της εταιρείας, που θα μπορούσαν να χρησιμοποιηθούν για την κλοπή συνεδριών Okta νόμιμων χρηστών.
Περαιτέρω έρευνα για την επίθεση αποκάλυψε ότι ο παράγοντας της απειλής “κατέβασε επίσης μια αναφορά που περιείχε τα ονόματα και τις διευθύνσεις ηλεκτρονικού ταχυδρομείου όλων των χρηστών του συστήματος υποστήριξης πελατών της Okta”.
“Όλοι οι πελάτες Okta Workforce Identity Cloud (WIC) και Customer Identity Solution (CIS) επηρεάζονται εκτός από τους πελάτες στα περιβάλλοντα FedRamp High και DoD IL4 (αυτά τα περιβάλλοντα χρησιμοποιούν ξεχωριστό σύστημα υποστήριξης που ΔΕΝ έχει πρόσβαση ο παράγοντας απειλής). Η υποστήριξη Auth0/CIC Το σύστημα διαχείρισης υποθέσεων δεν επηρεάστηκε επίσης από αυτό το περιστατικό” –
Okta
Σύμφωνα με την εταιρεία, η κλεμμένη αναφορά περιελάμβανε πεδία για πλήρες όνομα, όνομα χρήστη, email, όνομα εταιρείας, τύπο χρήστη, διεύθυνση, τελευταία αλλαγή/επαναφορά κωδικού πρόσβασης, ρόλο, αριθμό τηλεφώνου, αριθμό κινητού, ζώνη ώρας και αναγνωριστικό ομοσπονδίας SAML.
Ωστόσο, η Okta διευκρινίζει ότι για το 99,6% των χρηστών που αναφέρονται στην αναφορά τα μόνα διαθέσιμα στοιχεία επικοινωνίας ήταν το πλήρες όνομα και η διεύθυνση email. Επίσης, η εταιρεία διαβεβαίωσε ότι δεν εκτέθηκαν διαπιστευτήρια.
Στην ανακοίνωση της Okta σημειώνεται ότι πολλοί από τους εκτεθειμένους χρήστες είναι διαχειριστές και το 6% από αυτούς δεν έχουν ενεργοποιήσει την πολυπαραγοντική άμυνα ελέγχου ταυτότητας έναντι μη εξουσιοδοτημένων προσπαθειών σύνδεσης.
Η εταιρεία αναφέρει ότι οι εισβολείς είχαν επίσης πρόσβαση σε δεδομένα από “πιστοποιημένους χρήστες της Okta και ορισμένες επαφές πελατών της Okta Customer Identity Cloud (CIC)” μαζί με στοιχεία υπαλλήλου της Okta.
“Εντοπίσαμε επίσης πρόσθετες αναφορές και περιπτώσεις υποστήριξης στις οποίες είχε πρόσβαση ο παράγοντας απειλής, οι οποίες περιέχουν στοιχεία επικοινωνίας όλων των πιστοποιημένων χρηστών της Okta και ορισμένες επαφές πελατών της Okta Customer Identity Cloud (CIC) και άλλες πληροφορίες. Ορισμένες πληροφορίες υπαλλήλων της Okta συμπεριλήφθηκαν επίσης σε αυτές τις αναφορές Αυτά τα στοιχεία επικοινωνίας δεν περιλαμβάνουν διαπιστευτήρια χρήστη ή ευαίσθητα προσωπικά δεδομένα” – Okta
Τις περισσότερες φορές, τα ονόματα και τα email είναι αρκετά για έναν παράγοντα απειλών για να εξαπολύσει επιθέσεις
phishing
ή κοινωνικής μηχανικής που θα μπορούσαν να τον εξυπηρετήσουν σε στάδια αναγνώρισης ή θα μπορούσαν να τον βοηθήσουν να αποκτήσει περισσότερες λεπτομέρειες για να προετοιμάσει μια πιο περίπλοκη επίθεση.
Για προστασία από πιθανές επιθέσεις, η Okta συνιστά τα εξής:
- Εφαρμόστε MFA για πρόσβαση διαχειριστή, κατά προτίμηση χρησιμοποιώντας μεθόδους ανθεκτικές στο phishing, όπως οι έξυπνες κάρτες Okta Verify FastPass, FIDO2 WebAuthn ή PIV/CAC.
- Ενεργοποιήστε τη σύνδεση της περιόδου λειτουργίας διαχειριστή για να απαιτείται εκ νέου έλεγχος ταυτότητας για περιόδους σύνδεσης διαχειριστή από νέες διευθύνσεις IP.
- Ορίστε τα χρονικά όρια περιόδου λειτουργίας διαχειριστή σε μέγιστο όριο 12 ωρών με χρόνο αδράνειας 15 λεπτών, σύμφωνα με τις οδηγίες του NIST.
- Αυξήστε την ευαισθητοποίηση σχετικά με το phishing παραμένοντας σε εγρήγορση ενάντια στις απόπειρες phishing και ενισχύοντας τις διαδικασίες επαλήθευσης του Help Desk IT, ειδικά για ενέργειες υψηλού κινδύνου.
Η Okta έχει γίνει στόχος κλοπής διαπιστευτηρίων και επιθέσεων κοινωνικής μηχανικής τα τελευταία δύο χρόνια, καθώς χάκερ τον περασμένο Δεκέμβριο είχαν πρόσβαση στον πηγαίο κώδικα από τα ιδιωτικά αποθετήρια
GitHub
της εταιρείας.
Τον Ιανουάριο του
2022
, χάκερ απέκτησαν πρόσβαση στον φορητό υπολογιστή ενός μηχανικού υποστήριξης της Okta με τα προνόμια να ξεκινούν επαναφορά κωδικού πρόσβασης για πελάτες. Το περιστατικό επηρέασε περίπου 375 πελάτες, που αντιπροσωπεύουν το 2,5% της πελατειακής βάσης της εταιρείας.
Η ομάδα εκβιαστών Lapsus$ ανέλαβε την επίθεση και διέρρευσε στιγμιότυπα οθόνης που έδειχναν ότι είχαν πρόσβαση “υπερχρήστη/διαχειριστή” στο Okta.com και μπορούσαν να έχουν πρόσβαση σε δεδομένα πελατών.
VIA:
bleepingcomputer.com