国际身份软件巨头Okta系统被黑!公司股价暴跌11%,市值蒸发超20亿
Okta 表示,攻击者在使用窃取的凭据破坏支持管理系统后,访问了包含客户上传到其支持管理系统的 cookie 和会话令牌的文件。
Okta 首席安全官 David Bradbury 表示:“威胁行为者能够查看某些 Okta 客户上传的文件,作为最近支持案例的一部分。”“应该指出的是,Okta 支持案例管理系统与生产 Okta 服务是分开的,后者已全面运行且未受到影响。”
Okta 的 CSO 补充说,这一事件并未影响 Auth0/CIC案例管理系统。Okta 通知了其 Okta 环境或支持票证受到该事件影响的所有客户。目前已知ByondTrust、Cloudflare、1Password密码管理器公司受影响,没有收到警报的人不受影响。
Okta承认支持系统入侵后近三天的股价下跌情况,图片截取自网络
虽然该公司尚未提供有关在此次攻击中已泄露,或黑客访问了哪些客户信息的详细内容,但在此次攻击中遭到破坏的支持案例管理系统还用于存储 HTTP 存档 (HAR) 文件,这些文件用于复制用户或管理员错误,用于解决用户报告的问题。其中还包含敏感数据,例如 cookie 和会话令牌,威胁行为者可以利用这些数据来劫持客户帐户。
“HAR 文件代表浏览器活动的记录,并且可能包含敏感数据,包括访问的页面内容、标头、cookie 和其他数据,”Okta 在其支持门户网站上解释道。“虽然这允许 Okta 工作人员复制浏览器活动并解决问题,但恶意行为者可能会使用这些文件来冒充您。”
该公司在事件调查期间与受影响的客户合作,并撤销了共享 HAR 文件中嵌入的会话令牌。现在,它建议所有客户在共享之前清理其 HAR 文件,以确保它们不包含凭据和 cookie/会话令牌。Okta 还分享了调查期间观察到的妥协指标列表,包括与攻击者相关的 IP 地址和网络浏览器用户代理信息。
外媒BleepingComputer联系Okta时,Okta 发言人没有回答有关违规日期以及有多少客户受到影响的问题。
相反,该发言人表示,支持系统“与生产 Okta 服务是分开的,后者已全面运行且未受到影响。我们已通知受影响的客户,并采取措施保护所有客户。”
身份管理公司 BeyondTrust 表示,它是受影响的客户之一,并发表了有关该事件的更多见解。
BeyondTrust 的安全团队于 2023年10 月 2 日检测到并阻止了使用从 Okta 支持系统窃取的 cookie 登录内部 Okta 管理员帐户的尝试。
虽然 BeyondTrust 联系了 Okta 并向他们提供了取证数据,显示他们的支持组织受到了损害,但 Okta 花了两周多的时间才确认违规情况。
BeyondTrust表示:“我们于 10 月 2 日向 Okta 提出了对违规行为的担忧。由于没有收到 Okta 确认可能存在违规行为,我们认为hi Okta 内部升级,直到 10 月 19 日 Okta 安全领导层才通知我们他们确实遇到了违规行为,我们是受影响的客户之一,”
BeyondTrust 表示,这次攻击受到“自定义策略控制”的阻止,但由于“Okta 安全模型的限制”,恶意行为者能够执行“一些有限的操作”。尽管如此,该公司表示,攻击者并未访问其任何系统,其客户也没有受到影响。
攻击时间线
2023 年 10 月 2 日 – 检测到并修复了针对内部 Okta 管理员帐户的以身份为中心的攻击,并向 Okta 发出警报。
2023 年 10 月 3 日 – 要求 Okta 支持将问题升级给 Okta 安全团队,因为初步取证表明 Okta 支持组织内部存在妥协。
2023 年 10 月 11 日和 2023 年 10 月 13 日 – 与 Okta 安全团队举行 Zoom 会议,解释为什么我们认为他们可能受到威胁。
2023 年 10 月 19 日 – Okta 安全领导层确认他们存在内部漏洞,BeyondTrust 是他们受影响的客户之一。
Cloudflare 也在 2023 年 10 月 18 日在其服务器上发现了与 Okta 漏洞相关的恶意活动。Cloudflare表示:“虽然这是一次令人不安的安全事件,但我们的安全事件响应团队 (SIRT) 的实时检测和及时响应实现了遏制,并将对 Cloudflare 系统和数据的影响降至最低,也已经核实没有 Cloudflare 客户信息或系统受到此事件的影响。”
攻击者利用从 Okta 支持系统窃取的身份验证令牌,使用具有管理权限的开放会话进入 Cloudflare 的 Okta 实例。Cloudflare 在收到影响 Okta 系统的漏洞警报之前 24 小时就该事件联系了 Okta。
Cloudflare表示:“在我们的案例中,威胁行为者似乎能够从 Cloudflare 员工创建的支持票证中劫持会话令牌。威胁行为者使用从 Okta 提取的令牌于 10 月 18 日访问了 Cloudflare 系统。”
“在这次复杂的攻击中,我们观察到威胁行为者破坏了 Okta 平台内两个独立的 Cloudflare 员工帐户。”
1Password 是一个被超过 10 万家企业使用的流行密码管理平台,在黑客获得其 Okta ID 管理租户的访问权限后遭遇了安全事件。
1Password 首席技术官 Pedro Canahuati 在一份非常简短的安全事件通知中写道:“我们在 Okta 实例上检测到与其支持系统事件相关的可疑活动。经过彻底调查,我们得出结论,没有访问 1Password 用户数据。”
“9 月 29 日,我们在用于管理面向员工的应用程序的 Okta 实例上检测到可疑活动。”“我们立即终止了该活动,进行了调查,发现用户数据或其他敏感系统(无论是面向员工还是面向用户)都没有受到损害。”
2022年1月,Okta 披露,数据勒索组织Lapsus$ 获得对其管理控制台的访问权限后,其部分客户数据遭到泄露。
2022年8月,通过短信发送给 Okta 客户的一次性密码 (OTP) 被 Scatter Swine 威胁组织窃取,该组织于 2022 年 8 月入侵了云通信公司 Twilio。
2022年9月,Okta 旗下的身份验证服务提供商Auth0透露,一些较旧的源代码存储库被使用未知方法从其环境中窃取。
2022年12月,Okta的私人 GitHub 存储库遭到黑客攻击后,Okta 披露了自己的源代码盗窃事件。
END
Sinokap经过国家公认权威机构严格地考察和审核,凭借成熟的管理、规范的流程、丰富的经验及雄厚的实力,已获取ISO/IEC 27001:2013信息安全管理体系认证和ISO/IEC 20000-1:2018信息技术服务管理体系认证。
往期回顾
BREAK AWAY
网络攻击真
实案例分享
自主重置
邮箱密码
移动运营商
遭网络攻击
如何辨别微软
官方邮件通知
密码过期通知
警惕钓鱼邮件
马自达信息泄露
发布道歉公告
Chrono插件
高效下载管理
警惕浏览器插件
恶意扩展程序
如何转发邮件
至Todoist任务
使用KeePass
安全存储密码
Sinokap公众号每日放送IT小技巧,让你的工作、学习、甚至是日常生活更加高效、便捷。
Sinokap China IT Service Team daily broadcasts Professional IT Support Tips and Tricks. We are engaged to bring you a variety of IT skills that can be widely used in your business work, study and daily life.
关注我们
Follow us
如果你想了解更多IT资讯和小诀窍~
If you would like to learn more IT related news and IT Trick Tips.
加入我们
Join us
如果你想变得更强,成为一名专业的工程师~
If you want to improve self-ability and grow into a skillful engineer.
联系我们
Contact us
如果你需要专业的IT服务支持需求~
If you need Professional IT Support and IT Services in Shanghai, China.
点击进入公众号,长期关注不迷路!