Поставщик услуг по управлению идентификацией и аутентификацией Okta в пятницу сообщила, что недавняя утечка данных системы управления обращениями в службу поддержки затронула 134 из 18 400 ее клиентов.
Далее отмечается, что неавторизованный злоумышленник получил доступ к ее системам с 28 сентября по 17 октября 2023 года и в конечном итоге получил доступ к HAR-файлам, содержащим токены сеанса, которые могли быть использованы для атак с перехватом сеанса.
"Злоумышленник смог использовать эти токены сеанса для взлома законных сеансов Okta 5 клиентов", - сказал директор по безопасности Okta Дэвид Брэдбери.
Среди троих пострадавших - 1Password, BeyondTrust и Cloudflare. 1Password была первой компанией, сообщившей о подозрительной активности 29 сентября. 12 и 18 октября были идентифицированы еще два неназванных клиента.
20 октября Okta официально раскрыла событие безопасности, заявив, что злоумышленник использовал доступ к украденным учетным данным для доступа к системе управления обращениями в службу поддержки Okta.
Теперь компания поделилась некоторыми подробностями о том, как это произошло.
В нем говорилось, что при доступе к системе поддержки клиентов Okta использовалась учетная запись службы, хранящаяся в самой системе, которая имела права просматривать и обновлять обращения в службу поддержки клиентов.
Дальнейшее расследование показало, что имя пользователя и пароль учетной записи службы были сохранены в личной учетной записи сотрудника Google и что человек вошел в свою личную учетную запись в веб-браузере Chrome на своем ноутбуке, управляемом Okta.
"Наиболее вероятным способом раскрытия этих учетных данных является компрометация личной учетной записи Google сотрудника или персонального устройства", - сказал Брэдбери.
С тех пор Okta отозвала токены сеанса, встроенные в файлы HAR, которыми пользовались затронутые клиенты, и отключила скомпрометированную учетную запись службы.
Компания также заблокировала использование личных профилей Google в корпоративных версиях Google Chrome, запретив своим сотрудникам входить в свои личные учетные записи на ноутбуках, управляемых Okta.
"Okta выпустила привязку токена сеанса на основе сетевого местоположения в качестве усовершенствования продукта для борьбы с угрозой кражи токена сеанса у администраторов Okta", - сказал Брэдбери.
"Теперь администраторы Okta вынуждены проходить повторную аутентификацию, если мы обнаруживаем изменение сети. Клиенты могут включить эту функцию в разделе раннего доступа портала администрирования Okta".
Разработка произошла через несколько дней после того, как Okta обнаружила, что личная информация, принадлежащая 4961 нынешнему и бывшему сотруднику, была раскрыта после взлома поставщика медицинских услуг Rightway Healthcare 23 сентября 2023 года. Скомпрометированные данные включали имена, номера социального страхования и планы медицинского страхования.
Далее отмечается, что неавторизованный злоумышленник получил доступ к ее системам с 28 сентября по 17 октября 2023 года и в конечном итоге получил доступ к HAR-файлам, содержащим токены сеанса, которые могли быть использованы для атак с перехватом сеанса.
"Злоумышленник смог использовать эти токены сеанса для взлома законных сеансов Okta 5 клиентов", - сказал директор по безопасности Okta Дэвид Брэдбери.
Среди троих пострадавших - 1Password, BeyondTrust и Cloudflare. 1Password была первой компанией, сообщившей о подозрительной активности 29 сентября. 12 и 18 октября были идентифицированы еще два неназванных клиента.
20 октября Okta официально раскрыла событие безопасности, заявив, что злоумышленник использовал доступ к украденным учетным данным для доступа к системе управления обращениями в службу поддержки Okta.
Теперь компания поделилась некоторыми подробностями о том, как это произошло.
В нем говорилось, что при доступе к системе поддержки клиентов Okta использовалась учетная запись службы, хранящаяся в самой системе, которая имела права просматривать и обновлять обращения в службу поддержки клиентов.
Дальнейшее расследование показало, что имя пользователя и пароль учетной записи службы были сохранены в личной учетной записи сотрудника Google и что человек вошел в свою личную учетную запись в веб-браузере Chrome на своем ноутбуке, управляемом Okta.
"Наиболее вероятным способом раскрытия этих учетных данных является компрометация личной учетной записи Google сотрудника или персонального устройства", - сказал Брэдбери.
С тех пор Okta отозвала токены сеанса, встроенные в файлы HAR, которыми пользовались затронутые клиенты, и отключила скомпрометированную учетную запись службы.
Компания также заблокировала использование личных профилей Google в корпоративных версиях Google Chrome, запретив своим сотрудникам входить в свои личные учетные записи на ноутбуках, управляемых Okta.
"Okta выпустила привязку токена сеанса на основе сетевого местоположения в качестве усовершенствования продукта для борьбы с угрозой кражи токена сеанса у администраторов Okta", - сказал Брэдбери.
"Теперь администраторы Okta вынуждены проходить повторную аутентификацию, если мы обнаруживаем изменение сети. Клиенты могут включить эту функцию в разделе раннего доступа портала администрирования Okta".
Разработка произошла через несколько дней после того, как Okta обнаружила, что личная информация, принадлежащая 4961 нынешнему и бывшему сотруднику, была раскрыта после взлома поставщика медицинских услуг Rightway Healthcare 23 сентября 2023 года. Скомпрометированные данные включали имена, номера социального страхования и планы медицинского страхования.
