1Password, “Okta desteğiyle de doğrulanarak, bu olayın, tehdit aktörlerinin süper yönetici hesaplarını ele geçirdiği, ardından kimlik doğrulama akışlarını manipüle etmeye çalıştığı ve etkilenen kuruluş içindeki kullanıcıların kimliğine bürünmek için ikincil bir kimlik sağlayıcı kurduğu bilinen bir kampanyayla benzerlikleri paylaştığı tespit edildi
Kimlik hizmetleri sağlayıcısının daha önce tehdit aktörleri tarafından yüksek yönetici izinleri elde etmek amacıyla düzenlenen sosyal mühendislik saldırıları konusunda uyarıda bulunduğunu belirtmekte fayda var
1Password CTO’su Pedro Canahuati, “Etkinliği derhal sonlandırdık, araştırdık ve kullanıcı verilerinden veya diğer hassas sistemlerden, çalışanların veya kullanıcıların karşılaştığı herhangi bir tehlikeye rastlamadık” dedi
İhlalin, BT ekibinden bir üyenin Okta Destek ile bir HAR dosyası paylaşması ve tehdit aktörünün aşağıdaki eylemleri gerçekleştirmesi sonrasında bir oturum çerezi kullanılarak meydana geldiği söyleniyor:
- BT ekibi üyesinin kullanıcı kontrol paneline erişmeye çalıştı ancak Okta tarafından engellendi
- Üretim Google ortamımıza bağlı mevcut bir IDP güncellendi
- IDP’yi etkinleştirdi
- Yönetici kullanıcılardan rapor istendi
Şirket, BT ekibi üyesinin “istenen” yönetici kullanıcı raporu hakkında bir e-posta almasının ardından kötü niyetli faaliyet konusunda uyarıldığını söyledi
1Password, “Gördüğümüz faaliyet, daha karmaşık bir saldırı için bilgi toplamak amacıyla tespit edilmemek amacıyla ilk keşif yaptıklarını gösterdi söz konusu Pazartesi günü yapılan bir duyuruda
24 Eki 2023Haber odasıSiber Saldırı / Şifre Yönetimi
Popüler şifre yönetimi çözümü 1Password, 29 Eylül’de destek sistemi ihlalinin ardından Okta örneğinde şüpheli etkinlik tespit ettiğini söyledi ancak hiçbir kullanıcı verisine erişilmediğini yineledi
1Password ayrıca, Okta dışındaki IDP’lerin girişlerini reddederek, yönetici kullanıcılar için oturum sürelerini azaltarak, yöneticiler için daha sıkı çok faktörlü kimlik doğrulama (MFA) kuralları ve süper yönetici sayısını azaltarak güvenliği artırmak için bir dizi adım attığını söyledi Olaydan etkilenen diğer müşterilerden bazıları BeyondTrust ve Cloudflare’dir ” dedi
Bu yazının yazıldığı an itibariyle, saldırıların, yüksek ayrıcalıklar elde etmek için sosyal mühendislik saldırıları kullanarak Okta’yı hedef alma konusunda bir geçmişi olan Scattered Spider (aka 0ktapus, Scatter Swine veya UNC3944) ile herhangi bir bağlantısı olup olmadığı şu anda bilinmiyor
siber-2
Bu gelişme, Okta’nın, kimliği belirsiz tehdit aktörlerinin, destek vaka yönetimi sistemine sızmak ve müşterilerinin ağlarına sızmak için kullanılabilecek hassas HAR dosyalarını çalmak için çalıntı bir kimlik bilgisinden yararlandığını ortaya çıkarmasından birkaç gün sonra geldi
Şirket, The Hacker News’e olayın müşteri tabanının yaklaşık yüzde 1’ini etkilediğini söyledi