Доставчикът на услуги за идентификация Okta разкри в петък нов инцидент със сигурността, който е позволил на неидентифицирани хакери да използват откраднати идентификационни данни за достъп до системата на компанията за управление на случаи на поддръжка.
„Извършителят е успял да прегледа файлове, качени от определени клиенти на Okta като част от скорошни случаи на поддръжка“, заяви Дейвид Бредбъри, главен служител по сигурността на Okta. „Трябва да се отбележи, че системата за управление на случаите на поддръжка на Okta е отделна от производствената услуга на компанията, която е напълно функционираща и не е била засегната.“
Компанията също така подчерта, че нейната система за управление на случаи Auth0/CIC не е била засегната от пробива, като отбеляза, че директно е уведомила клиентите, които са били засегнати.
Въпреки това тя заяви, че системата за поддръжка на клиенти се използва и за качване на файлове от HTTP архива (HAR), за да се възпроизвеждат грешки на крайни потребители или администратори с цел отстраняване на неизправности.
„HAR файловете могат да съдържат и чувствителни данни, включително бисквитки и токени на сесии, които злонамерени хакери могат да използват, за да се представят за валидни потребители“, предупреди Okta.
Освен това фирмата заяви, че работи със засегнатите клиенти, за да гарантира, че вградените сесийни токени са отменени, за да се предотврати злоупотребата с тях.
Okta не разкрива мащаба на атаката, кога се е случил инцидентът и кога е открила неоторизирания достъп. Към март 2023 г. тя има повече от 17 000 клиенти и управлява около 50 милиарда потребители.
При това BeyondTrust и Cloudflare са сред клиентите, които потвърдиха, че са били обект на последната атака на системата за поддръжка.
„Извършителят на заплахата е успял да отвлече сесиен токен от билет за поддръжка, който е бил създаден от служител на Cloudflare“, заяви Cloudflare. „Използвайки токена, извлечен от Okta, извършителят на заплахата е получил достъп до системите на Cloudflare на 18 октомври.“
Описвайки я като сложна атака, компанията за уеб инфраструктура и сигурност заяви, че извършителят , който стои зад тази дейност, е компрометирал два отделни акаунта на служители на Cloudflare в рамките на платформата Okta. Тя също така заяви, че в резултат на събитието не е получен достъп до информация за клиенти или системи.
BeyondTrust заяви, че е уведомила Okta за нарушението на 2 октомври 2023 г., но атаката срещу Cloudflare предполага, че противникът е имал достъп до системите им за поддръжка поне до 18 октомври 2023 г.
Фирмата за услуги за управление на идентичността заяви, че нейният администратор на Okta е качил файл HAR в системата на 2 октомври, за да разреши проблем с поддръжката, и че е открил подозрителна дейност, включваща бисквитката на сесията, в рамките на 30 минути след споделянето на файла. Опитите за атаки срещу BeyondTrust в крайна сметка са били неуспешни.
„BeyondTrust незабавно откри и отстрани атаката чрез собствените си инструменти за идентификация, Identity Security Insights, в резултат на което нямаше никакво въздействие или излагане на риск на инфраструктурата на BeyondTrust или на нейните клиенти“, заяви говорител на компанията пред The Hacker News.
Развитието на ситуацията е последното от дългия списък с неуспехи в областта на сигурността, в който се откроява Okta през последните няколко години. Компанията се превърна във високоценена мишена за хакерските екипи поради факта, че нейните услуги за единно влизане (SSO) се използват от някои от най-големите компании в света.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.