Okta, ведущий поставщик услуг аутентификации, недавно столкнулся с нарушением безопасности в своей системе поддержки. Нарушение, произошедшее в начале октября, было инициировано злоумышленниками, которым удалось украсть сессионную cookie из системы поддержки Okta, предоставив им доступ к учетной записи администратора. Это, в свою очередь, потенциально подвергло риску файлы клиентов, связанные со случаями поддержки.
BeyondTrust, поставщик услуг по кибербезопасности для Okta, указал, что нарушение произошло 2 октября. Хотя файлы BeyondTrust остались нетронутыми, существует вероятность, что злоумышленники получили доступ к конфиденциальным файлам, загруженным другими клиентами Okta. Злоумышленники перехватили сессионную cookie от администратора Okta, на что BeyondTrust быстро отреагировал, всего за 30 минут. Однако официальное подтверждение от Okta поступило только 19 октября.
Деятельность злоумышленников была ограничена настраиваемой политикой безопасности BeyondTrust для доступа к административной консоли. Несмотря на это, злоумышленники стали использовать административные действия API, аутентифицированные украденной сессионной cookie, пытаясь создать запасной пользовательский аккаунт. К счастью, BeyondTrust определил и отключил этот аккаунт до того, как мог произойти дальнейший ущерб.
Истоком нарушения является файл HAR, загруженный в среду BeyondTrust, вероятно, во время легитимного устранения неполадок другого тикета поддержки клиента Okta. Этот файл содержал сессионную cookie, использованную злоумышленником. Точный метод получения этой cookie остается неясным.
Недавние проблемы безопасности Okta, включая атаки “0ktapus” и различные попытки социальной инженерии, вызвали опасения относительно мер безопасности компании. Хотя среда управления случаями поддержки Okta была скомпрометирована, компания заверяет, что ее система управления случаями Auth0/CIC и производственный сервис остались нетронутыми. Пострадавшие клиенты были уведомлены.
Cloudflare, другая компания, 18 октября сообщила о подозрительной активности, связанной с поддержкой Okta, указывая на два скомпрометированных аккаунта сотрудников. BeyondTrust отметил, что вредоносный аккаунт администратора Okta происходил из малайзийского IP-адреса, связанного с известным прокси-сервисом.
Рахул Павар, глобальный вице-президент в Commvault, подчеркнул важность надежного управления паролями и многофакторной аутентификации (MFA). Он рекомендовал организациям, использующим Okta, использовать надежные пароли, MFA, отслеживать журналы на наличие аномалий и принимать модель безопасности с нулевым доверием. Павар также предложил менять все учетные данные Okta и проводить обучение сотрудников по осведомленности в области безопасности.
Source: Cpomagazine
Чтобы смягчить потенциальные угрозы, важно реализовать дополнительные меры по обеспечению кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сами, используя check.website.