Carding 4 Carders
Professional
Поставщик услуг идентификации Okta в пятницу раскрыл новый инцидент безопасности, который позволил неустановленным субъектам угрозы использовать украденные учетные данные для доступа к своей системе управления обращениями в службу поддержки.
"Субъект угрозы смог просмотреть файлы, загруженные определенными клиентами Okta в рамках недавних обращений в службу поддержки", - сказал Дэвид Брэдбери, главный сотрудник службы безопасности Okta. "Следует отметить, что система управления обращениями в службу поддержки Okta отделена от производственной службы Okta, которая полностью работоспособна и не подвергалась воздействию".
Компания также подчеркнула, что нарушение не повлияло на ее систему управления обращениями Auth0 / CIC, отметив, что она напрямую уведомила клиентов, которые были затронуты.
Однако в нем говорится, что система поддержки клиентов также используется для загрузки файлов HTTP Archive (HAR) для воспроизведения ошибок конечного пользователя или администратора в целях устранения неполадок.
"Файлы HAR также могут содержать конфиденциальные данные, включая файлы cookie и токены сеанса, которые злоумышленники могут использовать для выдвижения себя за действительных пользователей", - предупредила Okta.
Компания также заявила, что работает с пострадавшими клиентами, чтобы убедиться, что встроенные токены сеанса были отозваны, чтобы предотвратить злоупотребление ими.
Okta не раскрыла масштабы атаки, когда произошел инцидент и когда был обнаружен несанкционированный доступ. По состоянию на март 2023 года у компании более 17 000 клиентов и около 50 миллиардов пользователей.
Тем не менее, BeyondTrust и Cloudflare входят в число двух клиентов, которые подтвердили, что стали мишенью последней атаки на систему поддержки.
"Субъект угрозы смог перехватить токен сеанса из заявки в службу поддержки, которая была создана сотрудником Cloudflare", - сказали в Cloudflare. "Используя токен, извлеченный из Okta, субъект угрозы получил доступ к системам Cloudflare 18 октября".
Описывая это как сложную атаку, компания, занимающаяся веб-инфраструктурой и безопасностью, заявила, что субъект угрозы, стоящий за этой активностью, скомпрометировал две отдельные учетные записи сотрудников Cloudflare на платформе Okta. В нем также говорится, что в результате происшествия не было доступа к информации о клиентах или системам.
BeyondTrust заявила, что уведомила Okta о нарушении 2 октября 2023 года, но атака на Cloudflare предполагает, что злоумышленник имел доступ к их системам поддержки по крайней мере до 18 октября 2023 года.
Компания, предоставляющая услуги по управлению идентификацией, заявила, что ее администратор Okta загрузил файл HAR в систему 2 октября, чтобы решить проблему со службой поддержки, и что она обнаружила подозрительную активность, связанную с сессионным файлом cookie, в течение 30 минут после предоставления доступа к файлу. Попытки атак на BeyondTrust в конечном итоге оказались безуспешными.
"BeyondTrust немедленно обнаружила и устранила атаку с помощью собственных инструментов идентификации, Identity Security Insights, что не оказало никакого воздействия на инфраструктуру BeyondTrust или ее клиентов", - сообщил The Hacker News представитель компании.
Эта ошибка является последней в длинном списке сбоев безопасности, которые были характерны для Okta за последние несколько лет. Компания стала ценной мишенью для хакерских групп из-за того факта, что ее услугами единого входа (SSO) пользуются некоторые из крупнейших компаний мира.
"Субъект угрозы смог просмотреть файлы, загруженные определенными клиентами Okta в рамках недавних обращений в службу поддержки", - сказал Дэвид Брэдбери, главный сотрудник службы безопасности Okta. "Следует отметить, что система управления обращениями в службу поддержки Okta отделена от производственной службы Okta, которая полностью работоспособна и не подвергалась воздействию".
Компания также подчеркнула, что нарушение не повлияло на ее систему управления обращениями Auth0 / CIC, отметив, что она напрямую уведомила клиентов, которые были затронуты.
Однако в нем говорится, что система поддержки клиентов также используется для загрузки файлов HTTP Archive (HAR) для воспроизведения ошибок конечного пользователя или администратора в целях устранения неполадок.
"Файлы HAR также могут содержать конфиденциальные данные, включая файлы cookie и токены сеанса, которые злоумышленники могут использовать для выдвижения себя за действительных пользователей", - предупредила Okta.
Компания также заявила, что работает с пострадавшими клиентами, чтобы убедиться, что встроенные токены сеанса были отозваны, чтобы предотвратить злоупотребление ими.
Okta не раскрыла масштабы атаки, когда произошел инцидент и когда был обнаружен несанкционированный доступ. По состоянию на март 2023 года у компании более 17 000 клиентов и около 50 миллиардов пользователей.
Тем не менее, BeyondTrust и Cloudflare входят в число двух клиентов, которые подтвердили, что стали мишенью последней атаки на систему поддержки.
"Субъект угрозы смог перехватить токен сеанса из заявки в службу поддержки, которая была создана сотрудником Cloudflare", - сказали в Cloudflare. "Используя токен, извлеченный из Okta, субъект угрозы получил доступ к системам Cloudflare 18 октября".
Описывая это как сложную атаку, компания, занимающаяся веб-инфраструктурой и безопасностью, заявила, что субъект угрозы, стоящий за этой активностью, скомпрометировал две отдельные учетные записи сотрудников Cloudflare на платформе Okta. В нем также говорится, что в результате происшествия не было доступа к информации о клиентах или системам.
BeyondTrust заявила, что уведомила Okta о нарушении 2 октября 2023 года, но атака на Cloudflare предполагает, что злоумышленник имел доступ к их системам поддержки по крайней мере до 18 октября 2023 года.
Компания, предоставляющая услуги по управлению идентификацией, заявила, что ее администратор Okta загрузил файл HAR в систему 2 октября, чтобы решить проблему со службой поддержки, и что она обнаружила подозрительную активность, связанную с сессионным файлом cookie, в течение 30 минут после предоставления доступа к файлу. Попытки атак на BeyondTrust в конечном итоге оказались безуспешными.
"BeyondTrust немедленно обнаружила и устранила атаку с помощью собственных инструментов идентификации, Identity Security Insights, что не оказало никакого воздействия на инфраструктуру BeyondTrust или ее клиентов", - сообщил The Hacker News представитель компании.
Эта ошибка является последней в длинном списке сбоев безопасности, которые были характерны для Okta за последние несколько лет. Компания стала ценной мишенью для хакерских групп из-за того факта, что ее услугами единого входа (SSO) пользуются некоторые из крупнейших компаний мира.
