1Password, Okta Desteği İhlalinin Ardından Şüpheli Etkinlik Tespit Ediyor - Dünyadan Güncel Teknoloji Haberleri

1Password, Okta Desteği İhlalinin Ardından Şüpheli Etkinlik Tespit Ediyor - Dünyadan Güncel Teknoloji Haberleri

Bu gelişme, Okta’nın, kimliği belirsiz tehdit aktörlerinin, destek vaka yönetimi sistemine sızmak ve müşterilerinin ağlarına sızmak için kullanılabilecek hassas HAR dosyalarını çalmak için çalıntı bir kimlik bilgisinden yararlandığını ortaya çıkarmasından birkaç gün sonra geldi


24 Eki 2023Haber odasıSiber Saldırı / Şifre Yönetimi

Popüler şifre yönetimi çözümü 1Password, 29 Eylül’de destek sistemi ihlalinin ardından Okta örneğinde şüpheli etkinlik tespit ettiğini söyledi ancak hiçbir kullanıcı verisine erişilmediğini yineledi ” dedi

1Password ayrıca, Okta dışındaki IDP’lerin girişlerini reddederek, yönetici kullanıcılar için oturum sürelerini azaltarak, yöneticiler için daha sıkı çok faktörlü kimlik doğrulama (MFA) kuralları ve süper yönetici sayısını azaltarak güvenliği artırmak için bir dizi adım attığını söyledi

1Password, “Okta desteğiyle de doğrulanarak, bu olayın, tehdit aktörlerinin süper yönetici hesaplarını ele geçirdiği, ardından kimlik doğrulama akışlarını manipüle etmeye çalıştığı ve etkilenen kuruluş içindeki kullanıcıların kimliğine bürünmek için ikincil bir kimlik sağlayıcı kurduğu bilinen bir kampanyayla benzerlikleri paylaştığı tespit edildi

1Password, “Gördüğümüz faaliyet, daha karmaşık bir saldırı için bilgi toplamak amacıyla tespit edilmemek amacıyla ilk keşif yaptıklarını gösterdi

Kimlik hizmetleri sağlayıcısının daha önce tehdit aktörleri tarafından yüksek yönetici izinleri elde etmek amacıyla düzenlenen sosyal mühendislik saldırıları konusunda uyarıda bulunduğunu belirtmekte fayda var

1Password CTO’su Pedro Canahuati, “Etkinliği derhal sonlandırdık, araştırdık ve kullanıcı verilerinden veya diğer hassas sistemlerden, çalışanların veya kullanıcıların karşılaştığı herhangi bir tehlikeye rastlamadık” dedi

Bu yazının yazıldığı an itibariyle, saldırıların, yüksek ayrıcalıklar elde etmek için sosyal mühendislik saldırıları kullanarak Okta’yı hedef alma konusunda bir geçmişi olan Scattered Spider (aka 0ktapus, Scatter Swine veya UNC3944) ile herhangi bir bağlantısı olup olmadığı şu anda bilinmiyor



siber-2

Olaydan etkilenen diğer müşterilerden bazıları BeyondTrust ve Cloudflare’dir

Şirket, The Hacker News’e olayın müşteri tabanının yaklaşık yüzde 1’ini etkilediğini söyledi

İhlalin, BT ekibinden bir üyenin Okta Destek ile bir HAR dosyası paylaşması ve tehdit aktörünün aşağıdaki eylemleri gerçekleştirmesi sonrasında bir oturum çerezi kullanılarak meydana geldiği söyleniyor:

  • BT ekibi üyesinin kullanıcı kontrol paneline erişmeye çalıştı ancak Okta tarafından engellendi
  • Üretim Google ortamımıza bağlı mevcut bir IDP güncellendi
  • IDP’yi etkinleştirdi
  • Yönetici kullanıcılardan rapor istendi

Şirket, BT ekibi üyesinin “istenen” yönetici kullanıcı raporu hakkında bir e-posta almasının ardından kötü niyetli faaliyet konusunda uyarıldığını söyledi söz konusu Pazartesi günü yapılan bir duyuruda ” dedi