Wykorzystanie Shadow IT w Okta za serią szkodliwych naruszeń


Pracownik Okty, który zalogował się na swoje osobiste konto Google na urządzeniu należącym do firmy wydaje się być źródłem naruszenia, o którym obecnie wiadomo, że dotknęło łącznie 134 klientów na niższym szczeblu łańcucha dostaw, w tym kilku innych dostawców usług uwierzytelniania.

Naruszenie, który rozpoczął się 28 września i trwał do 17 październikazaobserwowali, że nieujawniony ugrupowanie zagrażające uzyskało nieautoryzowany dostęp do systemu obsługi klienta Okta, gdzie udało mu się przejąć pliki zawierające tokeny sesji, które można następnie wykorzystać do przeprowadzenia ataków polegających na przejęciu sesji.

Ugrupowanie zagrażające było w stanie zaatakować pięciu ze 134 klientów, z czego trzech – 1Hasło, BeyondTrust i Cloudflare – wypowiadali się publicznie na temat zdarzenia.

CISO Okta David Bradbury powiedział: „Nieautoryzowany dostęp do systemu obsługi klienta Okta wykorzystał konto serwisowe zapisane w samym systemie. To konto usługi otrzymało uprawnienia do przeglądania i aktualizowania zgłoszeń do obsługi klienta.

„Podczas naszego dochodzenia w sprawie podejrzanego użycia tego konta firma Okta Security stwierdziła, że ​​pracownik zalogował się do swojego osobistego profilu Google w przeglądarce Chrome na swoim laptopie zarządzanym przez Okta.

„Nazwa użytkownika i hasło do konta usługi zostały zapisane na osobistym koncie Google pracownika. Najbardziej prawdopodobną drogą ujawnienia tych danych uwierzytelniających jest naruszenie osobistego konta Google lub urządzenia osobistego pracownika” – powiedział.

Reklama

Bradbury dodał: „Przepraszamy klientów, których to dotknęło, a szerzej wszystkich naszych klientów, którzy ufają firmie Okta jako dostawcy tożsamości. Jesteśmy głęboko zaangażowani w dostarczanie aktualnych informacji wszystkim naszym klientom.”

Okta stwierdziła, że ​​dochodzenie skomplikowało brak identyfikacji pobrań plików w dziennikach dostawców wsparcia klienta. Dzieje się tak dlatego, że gdy użytkownik otwiera i przegląda pliki pomocnicze, system generuje określone zdarzenie w dzienniku oraz identyfikator rekordu i wiąże je z plikiem, ale jeśli użytkownik przejdzie bezpośrednio do karty Pliki w systemie obsługi klienta (co zrobił ugrupowanie zagrażające do) generują inne zdarzenie w dzienniku i inny identyfikator rekordu.

Ponieważ dochodzenie początkowo skupiało się na dostępie do spraw wsparcia, co oznaczało ocenę logów powiązanych z tymi sprawami, Okta potrzebowała aż do 13 października – kiedy BeyondTrust przekazała Okcie podejrzany adres IP, który udało jej się przypisać atakującemu – Okta zidentyfikuj dodatkowe zdarzenia związane z dostępem do plików i połącz je z zaatakowanym kontem pracownika.

Rzeczywiście, od jakiegoś czasu Okta twierdziła, że ​​podejrzewa, że ​​1Password – pierwszy klient, który się z nią skontaktował – padł ofiarą złośliwego oprogramowania lub ataku phishingowego.

Może to w pewnym stopniu wyjaśnia, dlaczego firma BeyondTrust, która 2 października po raz pierwszy zgłosiła podejrzaną aktywność u swojego najemcy Okta, skarżył się, że reakcja Okty była wolniejsza niż idealnai dyrektor ds. technologii (CTO) powiedział, że miał trudności z przekonaniem Okty, że do incydentu doszło za pośrednictwem jej systemów.

Okta opublikowała teraz szczegóły dot co zrobiła, aby zaradzić tej sytuacji. Zaatakowane konto obsługi klienta zostało wyłączone i ma wdrożoną specjalną opcję konfiguracji w Chrome Enterprise, która uniemożliwia pracownikom logowanie się do Chrome na laptopie z systemem Okta z profilem osobistym. Wdrożyła także dodatkowe zasady wykrywania i monitorowania w całym swoim systemie obsługi klienta.

Jako dodatkowy krok dla klientów udostępniono powiązanie tokenów sesji w oparciu o lokalizację sieciową jako ulepszenie produktu, które pomaga zmniejszyć ryzyko kradzieży tokenów sesji wobec administratorów Okta, którzy będą teraz musieli ponownie uwierzytelnić się w przypadku wykrycia zmiany w sieci. Ta funkcja nie jest domyślnie wdrażana, ale należy ją włączyć w sekcji wczesnego dostępu portalu administracyjnego Okta.

Nieszczęścia pogłębiają się

Tymczasem problemy Okty związane z bezpieczeństwem cybernetycznym pogłębiają się po odkryciu, że nazwiska, numery ubezpieczenia społecznego w USA i szczegóły ubezpieczenia zdrowotnego 5000 obecnych i byłych pracowników Okty zostały wykradzione w wyniku cyberataku z 23 września na zewnętrznego dostawcę usług zdrowotnych, firmę Rightway. Opieka zdrowotna.

W liście wysłanym do zainteresowanych, który po raz pierwszy udostępniono 2 listopada, Okta stwierdziła, że ​​nie ma dowodów sugerujących, że którekolwiek z zainfekowanych danych zostały niewłaściwie wykorzystane.

Oferuje wszystkim pracownikom, których to dotyczy, dwa lata usług monitorowania kredytów, przywracania tożsamości i wykrywania oszustw za pośrednictwem platformy IdentityWorks firmy Experian.



Source link

Advertisment

Więcej

ZOSTAW ODPOWIEDŹ

Proszę wpisać swój komentarz!
Proszę podać swoje imię tutaj

Advertisment

Podobne

Advertisment

Najnowsze

W miarę zbliżania się premiery Apple rozpoczyna planowanie szkoleń Vision Pro dla pracowników sprzedaży detalicznej

Apple intensywnie się do tego przygotowuje Premiera detaliczna Vision Pro– wynika z nowego raportu z Bloomberga. Według doniesień Apple zaczęło planować sesje...

Włącz podwójne dotknięcie dowolnego zegarka Apple Watch: instrukcje

Jedną z głównych nowych funkcji Apple Watch Series 9 i Ultra 2 jest tak zwane „podwójne dotknięcie”, które pozwala użytkownikom kontrolować urządzenie do...

Mauga z Overwatch 2 zmieniła sposób, w jaki Blizzard dodaje nowych bohaterów

Overwatch 2nowy bohater, samoański czołg uzbrojony w dwa miniguny Mauga, oficjalnie zaprezentowany na początku tego tygodnia wraz z ósmym sezonem gry....
Advertisment