1Password, Okta Destek İhlalini Takiben Şüpheli Etkinlik Tespit Etti

1Password CTO'su Pedro Canahuati, Pazartesi günü yaptığı açıklamada, "Faaliyeti derhal sonlandırdık, araştırdık ve çalışanlara yönelik veya kullanıcıya yönelik kullanıcı verilerinde veya diğer hassas sistemlerde herhangi bir uzlaşma bulamadık" dedi.

İhlalin, BT ekibinin bir üyesinin Okta Support ile bir HAR dosyası paylaşmasının ardından bir oturum çerezi kullanılarak meydana geldiği ve tehdit aktörünün aşağıdaki eylemleri gerçekleştirdiği söyleniyor:

  • BT ekibi üyesinin kullanıcı panosuna erişmeye çalıştı, ancak Okta tarafından engellendi
  • Üretim Google ortamımıza bağlı mevcut bir IDP güncellendi
  • IDP'yi etkinleştirdi
  • Yönetici kullanıcılar için rapor istendi

Şirket, BT ekibi üyesinin "istenen" yönetici kullanıcı raporu hakkında bir e-posta almasının ardından kötü amaçlı etkinliğe karşı uyarıldığını söyledi.

1Password ayrıca, o zamandan beri Okta olmayan IDP'lerin oturum açmalarını reddederek, yönetici kullanıcılar için oturum sürelerini azaltarak, yöneticiler için daha sıkı çok faktörlü kimlik doğrulama (MFA) kuralları ve süper yöneticilerin sayısını azaltarak güvenliği artırmak için bir dizi adım attığını söyledi.

1Password, "Okta desteğiyle doğrulanan bu olayın, tehdit aktörlerinin süper yönetici hesaplarını tehlikeye atacağı, ardından kimlik doğrulama akışlarını manipüle etmeye ve etkilenen kuruluştaki kullanıcıların kimliğine bürünmek için ikincil bir kimlik sağlayıcı oluşturmaya çalışacağı bilinen bir kampanyayla benzerlikler paylaştığı tespit edildi" dedi.

Kimlik hizmetleri sağlayıcısının daha önce tehdit aktörleri tarafından yükseltilmiş yönetici izinleri elde etmek için düzenlenen sosyal mühendislik saldırıları konusunda uyarıda bulunduğunu belirtmekte fayda var.

Yazma itibariyle, saldırıların, yükseltilmiş ayrıcalıklar elde etmek için sosyal mühendislik saldırıları kullanarak Okta'yı hedef alma geçmişine sahip olan Dağınık Örümcek (diğer adıyla 0ktapus, Scatter Swine veya UNC3944) ile herhangi bir bağlantısı olup olmadığı şu anda bilinmiyor.

Gelişme, Okta'nın kimliği belirsiz tehdit aktörlerinin destek vaka yönetim sistemine girmek ve müşterilerinin ağlarına sızmak için kullanılabilecek hassas HAR dosyalarını çalmak için çalınan bir kimlik bilgisinden yararlandığını açıklamasından günler sonra geldi.

Şirket, The Hacker News'e yaptığı açıklamada, olayın müşteri tabanının yaklaşık yüzde 1'ini etkilediğini söyledi. Olaydan etkilenen diğer müşterilerden bazıları BeyondTrust ve Cloudflare'dir.

1Password, "Gördüğümüz etkinlik, daha karmaşık bir saldırı için bilgi toplamak amacıyla tespit edilmeden kalma niyetiyle ilk keşifleri gerçekleştirdiklerini öne sürdü" dedi.

0 Yorum

Henüz Yorum Yapılmamıştır.! İlk Yorum Yapan Siz Olun

Yorum Gönder

Lütfen tüm alanları doldurunuz!

GamerMekanı

E-Bülten Aboneliği