Popüler şifre yönetimi çözümü 1Password, 29 Eylül’de destek sistemi ihlalinin ardından Okta örneğinde şüpheli bir etkinlik tespit ettiğini duyurmuş, ancak hiçbir kullanıcı verisinin açığa çıkmadığını yinelemişti.
1Password CTO’su Pedro Canahuati pazartesi günü yaptığı açıklamada, “Etkinliği derhal sonlandırdık, araştırdık ve kullanıcı verilerinde ya da çalışanlara ya da kullanıcılara yönelik diğer hassas sistemlerde herhangi bir tehlikeye rastlamadık” dedi.
İhlalin, BT ekibinden bir üyenin Okta Destek (Okta Support) ile bir HAR dosyası paylaşmasının ardından bir oturum çerezi kullanılarak gerçekleştiği ve tehdit aktörünün aşağıdaki eylemleri gerçekleştirdiği söyleniyor:
- BT ekibi üyesinin kullanıcı kontrol paneline erişmeye çalıştı, ancak Okta tarafından engellendi.
- Üretim Google ortamımıza bağlı mevcut bir IDP güncellendi.
- IDP’yi etkinleştirdi.
- Yönetici kullanıcılara ilişkin bir rapor talep edildi.
Şirket, BT ekibi üyesinin “talep edilen” yönetici kullanıcı raporu hakkında bir e-posta almasının ardından kötü niyetli faaliyet konusunda uyarıldığını söyledi.
1Password ayrıca o zamandan beri Okta dışı IDP’lerden girişleri reddederek, yönetici kullanıcılar için oturum sürelerini azaltarak, yöneticiler için daha sıkı çok faktörlü kimlik doğrulama (multi-factor authentication, MFA) kuralları uygulayarak ve süper yöneticilerin sayısını azaltarak güvenliği artırmak için bir dizi adım attığını söyledi.
1Password, “Okta desteğiyle de doğrulanarak, bu olayın, tehdit aktörlerinin süper yönetici hesaplarını ele geçirdiği, ardından kimlik doğrulama akışlarını manipüle etmeye çalıştığı ve etkilenen kuruluş içindeki kullanıcıların kimliğine bürünmek için ikincil bir kimlik sağlayıcı kurduğu bilinen bir kampanyayla benzerlikleri paylaştığı tespit edildi.” dedi.
Kimlik hizmetleri sağlayıcısının daha önce tehdit aktörleri tarafından yüksek yönetici izinleri elde etmek amacıyla düzenlenen sosyal mühendislik saldırıları konusunda uyarıda bulunduğunu belirtmekte fayda var.
Bu yazının yazıldığı an itibariyle, saldırıların, yüksek ayrıcalıklar elde etmek için sosyal mühendislik saldırıları kullanarak Okta’yı hedef alma konusunda bir geçmişi olan Scattered Spider (diğer adıyla 0ktapus, Scatter Swine veya UNC3944) ile herhangi bir bağlantısı olup olmadığı henüz bilinmiyor.
Bu gelişme, Okta’nın kimliği belirsiz tehdit aktörlerinin çalıntı bir kimlik bilgisini kullanarak destek vaka yönetim sistemine girdiğini ve müşterilerinin ağlarına sızmak için kullanılabilecek hassas HAR dosyalarını çaldığını açıklamasından günler sonra geldi.
Şirket The Hacker News’e yaptığı açıklamada bu olayın müşteri tabanının yaklaşık yüzde 1’ini etkilediğini söyledi. Olaydan etkilenen diğer müşteriler arasında BeyondTrust ve Cloudflare de bulunuyor.
1Password, “Gördüğümüz faaliyet, daha karmaşık bir saldırı için bilgi toplamak amacıyla tespit edilmemek amacıyla ilk keşif yaptıklarını gösterdi.” dedi.
