Zhakowano system wsparcia Okty. Kradzież danych wrażliwych klienta

Okta to firma zajmująca się zarządzaniem tożsamością i dostępem. Pod koniec października poinformowała, że hakerzy włamali się do jej systemu zarządzania zgłoszeniami i ukradli wrażliwe dane, które można wykorzystać do podszywania się pod ważnych użytkowników.

W zawiadomieniu o incydencie bezpieczeństwa wydanym przez szefa bezpieczeństwa Okty Davida Bradbury’ego stwierdzono, że firma wykryła „kontrowersyjną działalność”, która polegała na wykorzystywaniu dostępów do skradzionych danych uwierzytelniających, aby uzyskać dostęp do systemu zarządzania zgłoszeniami.

„Podmiot zagrażający mógł przeglądać pliki przesłane przez niektórych klientów Okty w ramach niedawnych zgłoszeń do pomocy technicznej” – podał Bradbury, ostrzegając, że skradzione dane obejmują wrażliwe pliki cookie i tokeny sesji, do wykorzystania na potrzeby dodatkowych ataków.

Z poradnika Okty:

„W ramach normalnej działalności wsparcie Okty prosi klientów o przesłanie pliku archiwum HTTP (HAR), który umożliwia rozwiązywanie problemów poprzez replikację aktywności przeglądarki. Pliki HAR mogą również zawierać wrażliwe dane, w tym pliki cookie i tokeny sesji, które złośliwi aktorzy mogą wykorzystać do podszywania się pod prawidłowych użytkowników.

Okta współpracowała z klientami, których to dotyczyło, w celu zbadania sprawy i podjęła działania mające na celu ochronę naszych klientów, w tym unieważnienie skompromitowanych tokenów sesji. Ogólnie rzecz biorąc, Okta zaleca wyczyszczenie wszystkich danych uwierzytelniających oraz plików cookie/tokenów sesji w pliku HAR przed jego udostępnieniem”.

Bradbury poinformował, że zainfekowany system zarządzania zgłoszeniami do pomocy technicznej Okty jest odseparowany od produkcji, na którą incydent nie miał wpływu i która pozostaje w pełni operacyjna.

Okta opublikowała listę podejrzanych adresów IP (większość to komercyjne węzły VPN) i zaleciła klientom przeszukanie dzienników systemowych pod kątem dowolnej podejrzanej sesji, użytkownika lub adresu IP.

W osobnym ostrzeżeniu firma zajmująca się bezpieczeństwem BeyondTrust stwierdziła, że była celem cyberataku powiązanego z naruszeniem systemu wsparcia Okty.

„Incydent rozpoczął się, gdy zespoły bezpieczeństwa BeyondTrust wykryły osobę atakującą próbującą uzyskać dostęp do wewnętrznego konta administratora Okty przy użyciu prawidłowego pliku cookie sesji skradzionego z systemu wsparcia Okta. Niestandardowe mechanizmy kontroli zablokowały początkową aktywność atakującego, ale ograniczenia w modelu bezpieczeństwa Okty umożliwiły mu wykonanie dalszych działań” – stwierdził BeyondTrust.

Okta znalazła się na celowniku wielu grup hakerskich, które wybierają infrastrukturę jako wektor ataku na organizacje zewnętrzne. Jest to tzw. atak na łańcuch dostaw, o którym pisaliśmy wielokrotnie.

W zeszłym miesiącu Okta informowała, że wyrafinowana grupa hakerska wzięła za cel personel działu obsługi IT, próbując przekonać go do zresetowania uwierzytelniania wieloskładnikowego (MFA) dla użytkowników o wysokich uprawnieniach w jednej z obsługiwanych organizacji.

Okta stwierdziła, że podczas tego ataku hakerzy wykorzystali nowe metody ruchu bocznego i unikania obrony, ale nie udostępniła żadnych informacji na temat samego ugrupowania zagrażającego ani jego ostatecznego celu. Nie jest jasne, czy sprawy te są ze sobą powiązane, ale w zeszłym roku wielu klientów Okty stało się celem kampanii cyberprzestępczej o nazwie 0ktapus.