Τον περασμένο μήνα, η Okta έπεσε θύμα κυβερνοεπίθεσης, με τους hackers να παραβιάζουν το σύστημα υποστήριξης πελατών. Η Okta επιβεβαίωσε παραβίαση δεδομένων, αφού οι επιτιθέμενοι απέκτησαν πρόσβαση σε αρχεία που ανήκαν σε 134 πελάτες. Μάλιστα, πέντε από αυτούς βρέθηκαν στο στόχαστρο session hijacking επιθέσεων με τη βοήθεια κλεμμένων session tokens.
“Από τις 28 Σεπτεμβρίου 2023 έως τις 17 Οκτωβρίου 2023, ένας παράγοντας απειλών απέκτησε μη εξουσιοδοτημένη πρόσβαση σε αρχεία μέσα στο σύστημα υποστήριξης πελατών της Okta. Τα αρχεία σχετίζονται με 134 πελάτες της Okta, ή λιγότερο από το 1% των πελατών της“, αποκάλυψε η εταιρεία.
“Μερικά από αυτά τα αρχεία ήταν αρχεία HAR που περιείχαν session tokens, τα οποία θα μπορούσαν με τη σειρά τους να χρησιμοποιηθούν για session hijacking επιθέσεις“. Έτσι, ο επιτιθέμενος στόχευσε τους πέντε πελάτες.
Οι τρεις από τους πέντε πελάτες-θύματα της Okta, που αποκάλυψαν ήδη ότι στοχοποιήθηκαν λόγω της παραβίασης ασφαλείας της εταιρείας τον Οκτώβριο, είναι οι 1Password, BeyondTrust και Cloudflare. Όλοι ειδοποίησαν την Okta για ύποπτη δραστηριότητα, αφού εντόπισαν μη εξουσιοδοτημένες προσπάθειες σύνδεσης σε εσωτερικά Okta administrator accounts.
Παρά την ειδοποίηση για απόπειρες παραβίασης στις 29 Σεπτεμβρίου, η Okta επιβεβαίωσε επίσημα την παραβίαση μετά από δύο εβδομάδες και μετά από πολλές συναντήσεις με τους τρεις πελάτες που επηρεάστηκαν.
Πώς έγινε η παραβίαση της Okta;
Οι επιτιθέμενοι παραβίασαν το σύστημα υποστήριξης της Okta χρησιμοποιώντας κλεμμένα credentials για ένα support service account. Τα credentials φαίνεται να κλάπηκαν από το προσωπικό Google account ενός υπαλλήλου.
Ως απάντηση στην παραβίαση, η Okta έλαβε κάποια μέτρα για την αποτροπή παρόμοιων περιστατικών, συμπεριλαμβανομένης της απενεργοποίησης του παραβιασμένου λογαριασμού υπηρεσίας, του αποκλεισμού της χρήσης προσωπικών προφίλ Google με το Google Chrome σε συσκευές που διαχειρίζεται η Okta, της ανάπτυξης πρόσθετων κανόνων εντοπισμού και παρακολούθησης για το customer support system κ.ά.
“Έχουμε ειδοποιήσει όλους τους πελάτες για τα ευρήματά μας και έχουμε λάβει μέτρα για να προστατεύσουμε όλους τους πελάτες μας. Ζητούμε συγγνώμη από όλους τους πελάτες που εμπιστεύονται την Okta ως τον πάροχο ταυτότητάς τους“, είπε η Okta στο BleepingComputer.
Προηγούμενες παραβιάσεις
Τα τελευταία δύο χρόνια, η Okta έχει βιώσει και άλλες παραβιάσεις, που ξεκίνησαν από κλοπή credential και επιθέσεις social engineering.
Τον Δεκέμβριο του 2022, η Okta αναγνώρισε μια παραβίαση ασφαλείας όπου hackers είχαν πρόσβαση σε εμπιστευτικές πληροφορίες source code που ήταν αποθηκευμένες στα private GitHub repositories της.
Η ομάδα εκβιασμών Lapsus$ είχε προηγουμένως αναλάβει την ευθύνη για ένα παρόμοιο hack τον Μάρτιο του 2022, ένα περιστατικό που επαληθεύτηκε αργότερα από την Okta.
Τέλος, η θυγατρική της Okta, Auth0, αποκάλυψε επίσης ότι τα περιεχόμενα ορισμένων παλαιότερων source code repositories είχαν κλαπεί από hackers.
Επιπτώσεις παραβίασης δεδομένων
Μια κυβερνοεπίθεση και μια παραβίαση δεδομένων μπορούν να έχουν πολλές συνέπειες για μια εταιρεία. Αρχικά, η παραβίαση έχει φέρει την εταιρεία αντιμέτωπη με την περίπλοκη και χρονοβόρα διαδικασία αποκατάστασης των συστημάτων της. Ο εν λόγω χειρισμός προϋποθέτει ακόμα και την αναδιαμόρφωση των συστημάτων ασφαλείας για να αποτραπούν μελλοντικές επιθέσεις.
Έπειτα, η φήμη της εταιρείας επηρεάζεται αρνητικά. Μετά από την αποκάλυψη της διαρροής, το ευρύ κοινό και οι υφιστάμενοι πελάτες μπορεί να χάσουν την εμπιστοσύνη τους στην εταιρεία. Οι σχέσεις με τους πελάτες πρέπει να αναθεωρηθούν και πιθανόν η εταιρεία πρέπει να επενδύσει σημαντικό χρόνο και πόρους για να αποκαταστήσει τη ζημιά που προκλήθηκε από τη διαρροή.
Φυσικά, υπάρχουν και νομικές ευθύνες. Η εταιρεία ενδέχεται να έρθει αντιμέτωπη με επιβαρύνσεις που εκτείνονται από την επιβολή προστίμων μέχρι την αποζημίωση των πελατών.
Πηγή: www.bleepingcomputer.com