تلقي Okta اللوم في الاختراق الأخير لنظام الدعم الخاص بها على موظف قام بتسجيل الدخول إلى حساب Google شخصي على جهاز كمبيوتر محمول تديره الشركة، مما أدى إلى الكشف عن بيانات الاعتماد التي أدت إلى سرقة البيانات من العديد من عملاء Okta.
وقال ديفيد برادبري، رئيس الأمن في أوكتا، في تقرير مقتضب بعد الوفاة إن الخطأ الداخلي كان “الوسيلة الأكثر ترجيحًا” للجريمة. الاختراق الذي أوقع المئات من عملاء Okta، بما في ذلك شركات الأمن السيبراني BeyondTrust وCloudflare.
“يمكننا أن نؤكد أنه في الفترة من 28 سبتمبر 2023 إلى 17 أكتوبر 2023، حصل ممثل التهديد على وصول غير مصرح به إلى الملفات داخل نظام دعم عملاء Okta المرتبط بـ 134 من عملاء Okta، أو أقل من 1٪ من عملاء Okta. وقال برادبري في بيان: “كانت بعض هذه الملفات عبارة عن ملفات HAR تحتوي على رموز الجلسة والتي يمكن استخدامها بدورها لهجمات اختطاف الجلسة”. ملاحظة تحتوي على جدول زمني مفصل من الحادث.
وقال إن جهة التهديد كانت قادرة على استخدام رموز الجلسة هذه لاختطاف جلسات Okta المشروعة لخمسة عملاء.
وقال برادبري إن المتسللين استفادوا من حساب الخدمة المخزن في النظام نفسه والذي تم منحه أذونات لعرض حالات دعم العملاء وتحديثها.
“أثناء تحقيقنا في الاستخدام المشبوه لهذا الحساب، حددت شركة Okta Security أن أحد الموظفين قام بتسجيل الدخول إلى ملفه الشخصي الشخصي في Google على متصفح Chrome لجهاز الكمبيوتر المحمول الذي تديره شركة Okta. وأضاف أنه تم حفظ اسم المستخدم وكلمة المرور لحساب الخدمة في حساب جوجل الشخصي للموظف.
“إن السبيل الأكثر احتمالاً للكشف عن بيانات الاعتماد هذه هو اختراق حساب Google الشخصي أو الجهاز الشخصي للموظف.”
اعترف برادبري بفشل الضوابط الداخلية في اكتشاف الانتهاك. “لمدة 14 يومًا، أثناء التحقيق النشط، لم تحدد Okta التنزيلات المشبوهة في سجلاتنا. عندما يفتح مستخدم الملفات المرفقة بحالة دعم ويعرضها، يتم إنشاء نوع ومعرف محدد لحدث السجل مرتبط بهذا الملف. إذا انتقل المستخدم مباشرةً إلى علامة تبويب الملفات في نظام دعم العملاء، كما فعل ممثل التهديد في هذا الهجوم، فسيقوم بدلاً من ذلك بإنشاء حدث سجل مختلف تمامًا بمعرف سجل مختلف.
وقال كبير ضباط الأمن في Okta إن التحقيقات الأولية لفريقه ركزت على الوصول إلى حالات الدعم وحققت لاحقًا تقدمًا كبيرًا بعد أن شاركت BeyondTrust عنوان IP مشبوهًا منسوبًا إلى جهة التهديد.
وأوضح برادبري: “باستخدام هذا المؤشر، حددنا أحداث الوصول الإضافية إلى الملفات المرتبطة بالحساب المخترق”.
لقد وجدت شركة Okta نفسها في مرمى مجموعات القرصنة المتعددة التي تستهدف بنيتها التحتية لاقتحام منظمات خارجية.
وفي سبتمبر، قال أوكتا إن مجموعة قرصنة متطورة استهدفت موظفي مكاتب خدمات تكنولوجيا المعلومات في محاولة لإقناعهم بإعادة تعيين المصادقة متعددة العوامل (MFA) للمستخدمين ذوي الامتيازات العالية داخل المؤسسة المستهدفة.
وفي هذا الهجوم، قالت أوكتا إن المتسللين استخدموا أساليب جديدة للتحرك الجانبي والتهرب الدفاعي، لكنها لم تشارك أي معلومات حول جهة التهديد نفسها أو هدفها النهائي. من غير الواضح ما إذا كان الأمر مرتبطًا أم لا، ولكن في العام الماضي تم استهداف العديد من عملاء Okta كجزء من حملة جرائم إلكترونية ذات دوافع مالية تسمى 0ktapus.
متعلق ب: تم اختراق نظام دعم Okta، وسرقة بيانات العملاء الحساسة
متعلق ب: أوكتا تقول إن العملاء الأمريكيين استهدفوا في هجمات متطورة
متعلق ب: Okta تؤكد سرقة كود المصدر من قبل المتسللين
متعلق ب: مايكروسوفت وأوكتا تؤكدان حدوث خروقات للبيانات عبر الحسابات المخترقة
متعلق ب: Okta تغلق مسبار Lapsus$ للاختراق وتضيف ضوابط أمنية جديدة