Breșa de securitate asupra Okta a avut loc pe 23 septembrie și a fost descoperită pe 12 octombrie. Răspunsul Okta a fost proactiv și pozitiv în acest caz, luând măsuri pentru a notifica și sprijini persoanele afectate și oferind servicii de monitorizare a creditului ca măsură de precauție. Cu toate acestea, încrederea pe termen lung depinde de angajamentul companiei de a îmbunătăți măsurile sale de securitate și de a preveni viitoarele incidente.
Cum a fost efectuat atacul asupra Okta?
Hackerii au reușit să acceseze sistemul de suport pentru clienți după compromiterea unui cont de serviciu asociat, ceea ce i-a permis să vizualizeze și să actualizeze cazurile de suport. Un angajat s-a conectat la profilul său personal Google pe browser-ul Chrome al laptopului gestionat de Okta. Numele de utilizator și parola pentru contul de serviciu au fost salvate în contul personal Google al angajatului. Calea cea mai probabilă de expunere a acestor acreditări este compromiterea contului personal Google sau a dispozitivului personal al angajatului.
Când un utilizator deschide și vizualizează fișierele atașate unui caz de suport, se generează un tip specific de eveniment de jurnal și un ID legat de acel fișier. Dacă un utilizator navighează direct la fila de fișiere în sistemul de suport al clienților, așa cum a făcut actorul de amenințare în acest atac, se va genera în schimb un eveniment de jurnal complet diferit, cu un ID de înregistrare diferit.
Okta s-a regăsit și în trecut în vizorul mai multor grupuri de hackeri care vizează infrastructura sa pentru a pătrunde în organizații terțe.
Actorii de amenințare implicați în atacul asupra MGM Resorts au pretins că au avut acces la mediul Okta al companiei înainte de atacuri. MGM Resorts a închis serverele Okta după ce a realizat că hackerii pătrunseseră în serverele lor Okta Agent pentru a identifica parole vulnerabile.
Ulterior atacului către MGM Resorts, Okta a declarat că un grup de hackeri a vizat personalul biroului de servicii IT într-un efort de a-i convinge să reseteze autentificarea multi-factor (MFA) pentru utilizatorii cu privilegii ridicate din organizația țintă.
În acel atac, Okta a spus că hackerii au folosit noi metode de mișcare laterală și evitare a apărării, dar nu a furnizat informații despre actorul de amenințare în sine sau obiectivul său final. Nu este clar dacă acesta este legat, dar anul trecut mulți clienți Okta au fost ținta unei campanii de cybercrime cu motivație financiară numită 0ktapus.
Ce informații au fost compromise în urma atacului?
Sistemul de gestionare a suportului pentru clienți ce a fost afectat includea fișiere care înregistrau activitatea browser-ului, așa-numitele fișiere HAR, de la clienți în scopuri de depanare.
Fișierele HAR sunt utilizate pentru diagnosticarea problemelor în sesiunile de navigare pe web și conțin adesea cookie-uri și token-uri de sesiune, de exemplu. Aceste date pot fi folosite în mod abuziv pentru a falsifica un cont existent fără a fi nevoie de parole sau autentificare cu doi factori, de exemplu.
Au fost afectați 134 de clienți Okta în acest incident, ceea ce reprezintă mai puțin de 1% din întreaga sa bază de utilizatori. Dintre aceștia, atacatorii au reușit să utilizeze cookie-uri pentru a prelua sesiuni Okta legitime în cinci cazuri, dintre care trei au fost raportate înapoi către Okta: 1Password, BeyondTrust și Cloudflare.
Intruziunea a fost remarcată de compania de securitate BeyondTrust, care a detectat un atac asupra propriului său sistem Okta. În acest caz, contul de gestionare Okta al companiei a fost atacat prin folosirea incorectă a unui cookie de sesiune valid. Cookie-ul valid s-a dovedit a fi fost furat din propriul sistem de suport Okta.
Acțiunile implementate de Okta pentru contracararea incidentului
După ce BeyondTrust a furnizat Okta cu adresa IP a actorului de amenințare la 13 octombrie, Okta a reușit în cele din urmă să identifice evenimente suplimentare de acces la fișiere asociate cu contul compromis.
Okta a efectuat o serie de acțiuni de remediere, inclusiv dezactivarea contului de serviciu compromis, prevenirea autentificării în Chrome pe un laptop gestionat de Okta utilizând un profil Google personal și implementarea unor reguli suplimentare de detectare și monitorizare.
Okta a colaborat cu clienții afectați pentru a investiga și a luat măsuri pentru a-i proteja, inclusiv revocarea token-urilor de sesiune încorporate. În general, Okta recomandă curățarea tuturor credențialelor și cookie-urilor/token-urilor de sesiune dintr-un fișier HAR înainte de a îl partaja.
Compania a introdus, de asemenea, "legarea token-ului de sesiune" bazată pe locația în rețea pentru a reduce riscul furtului de token-uri de sesiune.
Okta a publicat o listă de adrese IP suspecte și a recomandat clienților să caute în Jurnalele de sistem orice sesiune, utilizator sau adresă IP suspectă.
Factorul uman: cea mai vulnerabilă componentă a ciberneticii
Analizând încălcarea de securitate la Okta, descoperim că factorul uman este sursa acestei vulnerabilități - amestecul datelor personale și profesionale de către un angajat. Astfel de greșeli comportamentale sunt adesea cauza incidentelor cibernetice, însă companiile se lasă adesea în voia sorții, tratându-le ca fiind inevitabile. Acest incident subliniază necesitatea ca organizațiile să se concentreze nu doar pe securizarea sistemelor și conturilor lor interne, ci și pe educarea angajaților în legătură cu riscurile asociate utilizării conturilor de email personale pe dispozitivele de lucru.
Angajații ar trebui să fie prudenți când utilizează conturi de email personale pe dispozitive gestionate de companie. Asigurați-vă că datele de autentificare ale emailului personal nu sunt stocate pe dispozitivele de lucru. Totodată, organizațiile ar trebui să ofere instruiri regulate în domeniul ciberneticii angajaților, accentuând riscurile potențiale și consecințele amestecului activităților personale și profesionale pe dispozitivele gestionate de companie.
Trebuie să învățăm din incidentele de securitate ale marilor companii și să prevenim producerea unor evenimente similare. Situația expusă mai sus în cazul Okta aduce în prim-plan importanța gestionării securizate a conturilor de email personale, chiar și în cadrul locului de muncă, un aspect adesea trecut cu vederea.