Sikkerhedsbrud hos Okta: Incident fremhæver behovet for forbedrede protokoller

Kamso Oguejiofor-Abugu
Opdateret den: Oktober 25, 2023

I en nylig afsløret sikkerhedshændelse opdagede 1Password mistænkelig aktivitet på sin Okta-instans relateret til Oktas supportsystemhændelse. Den 29. september 2023 modtog et medlem af Oktas it-team en mistænkelig e-mail, der indikerede, at de havde iværksat en rapport om Okta-administratorkonti - en handling, de ikke havde udført. Alarmerede advarede de virksomhedens indsatsteam for sikkerhedshændelser.

"Foreløbige undersøgelser afslørede, at aktivitet i vores Okta-miljø var hentet fra en mistænkelig IP-adresse og blev senere bekræftet, at en trusselsaktør havde adgang til vores Okta-lejer med administrative rettigheder," lød 1Passwsords sikkerhedshændelsesrapport.

Denne ulovlige aktivitet deler ligheder med et kendt cyberangrebsmønster, hvor angribere kompromitterer superadministratorkonti for at manipulere med godkendelsesstrømme og efterligne brugere af den berørte organisation.

Det er bemærkelsesværdigt, at angriberens oprindelige hensigt så ud til at være informationsrekognoscering, muligvis forberedelse til et mere sofistikeret overfald. Som sådan er der "ingen beviser, der beviser, at skuespilleren havde adgang til nogen systemer uden for Okta."

Ifølge rapporten var angriberen i stand til at få adgang til Oktas administrative portal ved hjælp af en session initieret af IT-teammedlemmet for at oprette en HAR-fil (en registrering af al trafik mellem en browser og Okta-servere). Angriberen forsøgte forskellige handlinger, herunder aktivering af en identitetsudbyder (IDP) og anmodning om en administrativ brugerrapport, hvilket førte til en e-mail-meddelelse til IT-teammedlemmet.

"HAR-filen blev oprettet på teammedlemmets macOS-laptop og uploadet via hotelforsynet WiFi, da denne hændelse fandt sted i slutningen af ​​en firmabegivenhed," lød rapporten. "Baseret på en analyse af, hvordan filen blev oprettet og uploadet, Oktas brug af TLS og HSTS, og den tidligere brug af samme browser til at få adgang til Okta, menes det, at der ikke var noget vindue, hvori disse data kunne have været udsat for WiFi-netværket eller på anden måde underlagt aflytning."

Som reaktion på bruddet er omfattende sikkerhedsopdateringer blevet iværksat, herunder afvisning af logins fra ikke-Okta IDP'er, strengere Multi-Factor Authentication (MFA) regler for administrative brugere og reducerede sessionstider.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.safetydetectives.com/news/security-breach-at-okta-incident-highlights-need-for-enhanced-protocols/