Okta 将最近对其支持系统的黑客攻击归咎于一名员工,该员工在公司管理的笔记本电脑上登录了个人 Google zhangh账户,暴露了凭据,导致多名 Okta 客户的数据被盗。
Okta 安全主管 David Bradbury 在一份简短的事后分析中表示,内部失误是导致数百名 Okta 客户陷入困境的“最有可能的途径” ,其中包括网络安全公司 BeyondTrust 和 Cloudflare。
“我们可以确认,从 2023 年 9 月 28 日到 2023 年 10 月 17 日,威胁行为者未经授权访问了 Okta 客户支持系统内与 134 名 Okta 客户(不到 1% 的 Okta 客户)相关的文件。其中一些文件是 HAR 文件,其中包含会话令牌,这些令牌反过来可用于会话劫持攻击。”布拉德伯里在一份包含事件详细时间表的说明中表示。
他表示,威胁行为者能够使用这些会话令牌来劫持五个客户的合法 Okta 会话。
布拉德伯里表示,黑客利用了系统本身存储的一个服务账户,该账户被授予查看和更新客户支持案例的权限。
“在我们对该账户的可疑使用进行调查期间,Okta Security 发现一名员工在 Okta 管理的笔记本电脑的 Chrome 浏览器上登录了他们的个人 Google 个人资料。服务帐户的用户名和密码已保存到员工的个人谷歌账户中,泄露此凭证的最可能途径是泄露员工的个人 Google账户或个人设备。”
布拉德伯里承认内部控制未能发现违规行为。“在 14 天的时间里,在积极调查的过程中,Okta 没有在我们的日志中发现可疑的下载。当用户打开并查看附加到支持案例的文件时,会生成与该文件关联的特定日志事件类型和 ID。如果用户直接导航到客户支持系统中的“文件”选项卡(就像威胁行为者在本次攻击中所做的那样),他们将生成具有不同记录 ID 的完全不同的日志事件。”
Okta 首席安全官表示,他的团队最初的调查重点是获取支持案例,后来在 BeyondTrust 分享了威胁者的可疑 IP 地址后取得了重大突破。
布拉德伯里解释道:“通过这个指标,我们确定了与受感染账户相关的其他文件访问事件。”
Okta 发现自己成为多个黑客组织的攻击目标,这些组织瞄准其基础设施侵入第三方组织。
9 月,Okta 表示,一个复杂的黑客组织以 IT 服务台人员为目标,试图说服他们为目标组织内的高权限用户重置多重身份验证 (MFA)。
Okta 表示,在那次攻击中,黑客使用了新的横向移动和防御规避方法,但尚未分享有关威胁行为者本身或其最终目标的任何信息。目前尚不清楚这是否相关,但去年许多 Okta 客户成为名为0ktapus的经济动机网络犯罪活动的一部分。
>>>错与罚<<<
原文始发于微信公众号(祺印说信安):Okta 黑客攻击归咎于笔记本电脑上使用个人 Google 账户
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论