1Password, Okta Destek İhlalini Takiben Şüpheli Etkinlik Tespit Etti
Popüler şifre yönetimi çözümü 1Password, destek sistemi ihlalinin ardından 29 Eylül'de Okta örneğinde şüpheli etkinlik tespit ettiğini söyledi, ancak hiçbir kullanıcı verisine erişilmediğini yineledi.
1Password CTO'su Pedro Canahuati, Pazartesi günü yaptığı açıklamada, "Faaliyeti derhal sonlandırdık, araştırdık ve çalışanlara yönelik veya kullanıcıya yönelik kullanıcı verilerinde veya diğer hassas sistemlerde herhangi bir uzlaşma bulamadık" dedi.
İhlalin, BT ekibinin bir üyesinin Okta Support ile bir HAR dosyası paylaşmasının ardından bir oturum çerezi kullanılarak meydana geldiği ve tehdit aktörünün aşağıdaki eylemleri gerçekleştirdiği söyleniyor:
- BT ekibi üyesinin kullanıcı panosuna erişmeye çalıştı, ancak Okta tarafından engellendi
- Üretim Google ortamımıza bağlı mevcut bir IDP güncellendi
- IDP'yi etkinleştirdi
- Yönetici kullanıcılar için rapor istendi
Şirket, BT ekibi üyesinin "istenen" yönetici kullanıcı raporu hakkında bir e-posta almasının ardından kötü amaçlı etkinliğe karşı uyarıldığını söyledi.
1Password ayrıca, o zamandan beri Okta olmayan IDP'lerin oturum açmalarını reddederek, yönetici kullanıcılar için oturum sürelerini azaltarak, yöneticiler için daha sıkı çok faktörlü kimlik doğrulama (MFA) kuralları ve süper yöneticilerin sayısını azaltarak güvenliği artırmak için bir dizi adım attığını söyledi.
1Password, "Okta desteğiyle doğrulanan bu olayın, tehdit aktörlerinin süper yönetici hesaplarını tehlikeye atacağı, ardından kimlik doğrulama akışlarını manipüle etmeye ve etkilenen kuruluştaki kullanıcıların kimliğine bürünmek için ikincil bir kimlik sağlayıcı oluşturmaya çalışacağı bilinen bir kampanyayla benzerlikler paylaştığı tespit edildi" dedi.
Kimlik hizmetleri sağlayıcısının daha önce tehdit aktörleri tarafından yükseltilmiş yönetici izinleri elde etmek için düzenlenen sosyal mühendislik saldırıları konusunda uyarıda bulunduğunu belirtmekte fayda var.
Yazma itibariyle, saldırıların, yükseltilmiş ayrıcalıklar elde etmek için sosyal mühendislik saldırıları kullanarak Okta'yı hedef alma geçmişine sahip olan Dağınık Örümcek (diğer adıyla 0ktapus, Scatter Swine veya UNC3944) ile herhangi bir bağlantısı olup olmadığı şu anda bilinmiyor.
Gelişme, Okta'nın kimliği belirsiz tehdit aktörlerinin destek vaka yönetim sistemine girmek ve müşterilerinin ağlarına sızmak için kullanılabilecek hassas HAR dosyalarını çalmak için çalınan bir kimlik bilgisinden yararlandığını açıklamasından günler sonra geldi.
Şirket, The Hacker News'e yaptığı açıklamada, olayın müşteri tabanının yaklaşık yüzde 1'ini etkilediğini söyledi. Olaydan etkilenen diğer müşterilerden bazıları BeyondTrust ve Cloudflare'dir.
1Password, "Gördüğümüz etkinlik, daha karmaşık bir saldırı için bilgi toplamak amacıyla tespit edilmeden kalma niyetiyle ilk keşifleri gerçekleştirdiklerini öne sürdü" dedi.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı