แฮกเกอร์ขโมยโทเคนการเข้าถึงจากฝ่ายสนับสนุนของ Okta

 (krebsonsecurity.com)
1 คะแนน โดย GN⁺ 2023-10-22 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • Okta บริษัทที่ให้บริการเครื่องมือด้านตัวตน เช่น การยืนยันตัวตนหลายปัจจัยและการลงชื่อเข้าใช้ครั้งเดียว ประสบเหตุการณ์ละเมิดความปลอดภัยที่เกี่ยวข้องกับฝ่ายสนับสนุนลูกค้า
  • เหตุละเมิดนี้ส่งผลกระทบต่อลูกค้าเพียง "จำนวนน้อยมาก" แต่แฮกเกอร์สามารถเข้าถึงแพลตฟอร์มสนับสนุนของ Okta ได้นานอย่างน้อย 2 สัปดาห์ ก่อนที่การบุกรุกจะถูกสกัดกั้นอย่างสมบูรณ์
  • แฮกเกอร์เข้าถึงข้อมูลรับรองที่ถูกขโมยมา และใช้มันเพื่อเข้าถึงระบบจัดการเคสซัพพอร์ตของ Okta ทำให้สามารถดูไฟล์ที่ลูกค้า Okta อัปโหลดไว้เป็นส่วนหนึ่งของเคสซัพพอร์ตล่าสุดได้
  • Okta มักขอไฟล์ HTTP Archive (HAR) จากลูกค้าเพื่อใช้ในการแก้ปัญหา ไฟล์เหล่านี้อาจมีข้อมูลอ่อนไหว เช่น คุกกี้และโทเคนเซสชัน ซึ่งแฮกเกอร์สามารถนำไปใช้เพื่อสวมรอยเป็นผู้ใช้ที่ยังมีสิทธิ์ใช้งานได้
  • Okta ได้ดำเนินมาตรการเพื่อปกป้องลูกค้า รวมถึงการเพิกถอนโทเคนเซสชันที่ฝังอยู่ และแนะนำให้ล้างข้อมูลรับรองทั้งหมดรวมถึงคุกกี้/โทเคนเซสชันก่อนแชร์ไฟล์ HAR
  • BeyondTrust ซึ่งเป็นลูกค้าของ Okta ได้แจ้ง Okta เกี่ยวกับปัญหาที่อาจเกิดขึ้นตั้งแต่สองสัปดาห์ก่อนที่ Okta จะประกาศ โดย BeyondTrust ตรวจพบความพยายามสร้างบัญชีผู้ดูแลระบบภายในสภาพแวดล้อม Okta ของตน โดยใช้งานบัญชี Okta ที่ผูกกับวิศวกรคนหนึ่งของบริษัท
  • ในตอนแรก Okta ไม่คิดว่าคำเตือนจาก BeyondTrust มีสาเหตุมาจากการถูกเจาะภายในระบบของตนเอง แต่ภายในวันที่ 17 ตุลาคม Okta ก็ได้ระบุและสกัดกั้นเหตุการณ์ดังกล่าว
  • Charlotte Wylie รองประธานเจ้าหน้าที่ฝ่ายความมั่นคงสารสนเทศของ Okta ไม่ได้เปิดเผยจำนวนลูกค้าที่ได้รับคำเตือนเกี่ยวกับปัญหาความปลอดภัยที่อาจเกิดขึ้นอย่างเจาะจง แต่ระบุว่าเป็นสัดส่วนที่ "น้อยมาก ๆ" จากลูกค้ามากกว่า 18,000 ราย
  • เหตุละเมิดครั้งนี้เกิดขึ้นต่อเนื่องจากเหตุแฮ็กคาสิโนยักษ์ใหญ่อย่าง Caesar’s Entertainment และ MGM Resorts เมื่อไม่นานมานี้ ซึ่งผู้โจมตีสามารถรีเซ็ตข้อกำหนดการล็อกอินแบบหลายปัจจัยของบัญชีผู้ดูแลระบบ Okta ได้สำเร็จ
  • Okta เชื่อว่าฝ่ายตรงข้ามที่อยู่เบื้องหลังการละเมิดครั้งนี้เป็นกลุ่มผู้คุกคามที่รู้จักกันดี ซึ่งเคยพุ่งเป้ามาที่ Okta และลูกค้าของบริษัทมาก่อน
  • Okta ได้เผยแพร่บล็อกโพสต์เกี่ยวกับเหตุการณ์นี้ พร้อมระบุ "สัญญาณบ่งชี้การถูกละเมิด" เพื่อให้ลูกค้าตรวจสอบได้ว่าตนได้รับผลกระทบหรือไม่ และบริษัทยืนยันว่าได้ส่งการแจ้งเตือนไปยังลูกค้าที่ได้รับผลกระทบทั้งหมดแล้ว

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2023-10-22
ความคิดเห็นจาก Hacker News
  • บริษัทด้านความปลอดภัยไซเบอร์ Okta ได้รับการแจ้งเตือนเกี่ยวกับกิจกรรมที่น่าสงสัยจาก BeyondTrust แต่ในตอนแรกไม่พบร่องรอยของการบุกรุก
  • Okta ยืนยันและสกัดกั้นการบุกรุกได้ก็ต่อเมื่อ BeyondTrust ยืนกรานอย่างต่อเนื่อง
  • โพสต์บล็อกของ Okta เกี่ยวกับเหตุการณ์นี้ไม่ได้กล่าวถึงการแจ้งเตือนจากบุคคลที่สาม ทำให้เกิดข้อกังวลเรื่องความโปร่งใส
  • Charlotte Wylie รองประธานฝ่ายความมั่นคงปลอดภัยสารสนเทศของ Okta ยืนยันว่าบริษัทเพิกเฉยต่อคำเตือนของ BeyondTrust ในตอนแรก แต่ภายหลังได้ยืนยันการบุกรุก
  • มีเสียงวิจารณ์ต่อความล่าช้าในการยอมรับและตอบสนองต่อการบุกรุก โดยเฉพาะเมื่อพิจารณาว่า Okta มีบทบาทเป็นผู้เชี่ยวชาญด้านความปลอดภัยไซเบอร์และการยืนยันตัวตน
  • ความเห็นบางส่วนเสนอว่า gatekeeper สำคัญอย่าง SSO, OAuth, SAML และ 2FA ควรดำเนินการแบบ on-premises แทนที่จะพึ่งพาโซลูชัน SaaS อย่าง Okta
  • มีความคาดหวังโดยทั่วไปว่าผู้ให้บริการด้านตัวตน ผู้จัดการรหัสผ่าน และบริษัท VPN ไม่ควรถูกแฮ็กได้เลย เนื่องจากมีบทบาทด้านความปลอดภัย
  • ผู้ใช้บางรายแสดงความกังวลต่อการตัดสินใจของ Okta ในการจ้างงานเจ้าหน้าที่สนับสนุนแบบ outsourced พร้อมกล่าวถึงความเสี่ยงด้านความปลอดภัยที่อาจตามมา
  • ความคิดเห็นต่อการที่ Okta เข้าซื้อ Auth0 ซึ่งเป็นคู่แข่ง มีทั้งเห็นด้วยและไม่เห็นด้วย โดยผู้ใช้บางส่วนแสดงความกังวลต่อการรวมศูนย์ของผู้ให้บริการด้านตัวตน/การยืนยันตัวตน
  • ผู้ใช้บางรายกำลังมองหาคำแนะนำเกี่ยวกับผู้ให้บริการด้านตัวตน/การยืนยันตัวตนแบบรวมศูนย์ที่เชื่อถือได้