Okta 最近透露,它的后端支援案例管理系统发生过一次安全事件,攻击者透过这次入侵取得了与134位身份及存取管理IAM客户相关的文件。该事件对五位受影响客户造成了影响,这些客户包括 Cloudflare、1Password 和 BeyondTrust。
在11月3日的一篇 博客文章 中,Okta 的首席安全官大卫布拉德伯里表示,威胁行动者通过一个具有查看和更新客户案例权限的服务帐户存取了客户支援系统。他们所存取的文件中包括 HTTP 监控档案HAR,该档案用于记录网页浏览器与网站之间的互动,并包含可用于执行会话劫持攻击的会话令牌。
布拉德伯里指出,攻击者利用这些会话令牌劫持了五位受影响客户的 Okta 会话。根据公司的调查,发现该服务帐户的凭证是在一名员工的个人 Google 帐户中被储存的,该员工在使用 Google Chrome 登录到其工作笔记本电脑的个人档案后,该凭证才泄露。
“最有可能的泄露途径是该员工的个人 Google 帐户或个人设备被攻击者攻陷。” 大卫布拉德伯里
根据布拉德伯里的时间表,威胁行动者在 Okta 系统中的活动时间为9月28日至10月17日。Okta 的安全团队首次得知问题是在9月29日,当时1Password 向 Okta 支援部门报告了可疑活动。调查团队花了14天才在公司的日志中识别出可疑的下载行为。
布拉德伯里解释道:“当用户打开并查看附加在支援案例上的文件时,将产生一个与该文件相关的特定日志事件类型和ID。如果用户直接导航到客户支援系统中的档案选项卡,如本次攻击的威胁行动者所做的,他们将产生一个完全不同的日志事件和不同的记录ID。”
公司的调查最初专注于寻找未经授权的访问,而在10月13日,BeyondTrust 提供了一个可疑的 IP 地址,这才使安全团队识别到了攻击者通过受损帐户访问档案选项卡。
为了加强安全,Okta 已采取了一系列补救措施,包括关闭被攻陷的服务帐户、禁止在公司笔记本电脑上使用个人 Google 帐户、加强监控客户支援系统以及根据网路位置约束管理员会话令牌。根据受影响的 Cloudflare、1Password 和 BeyondTrust 的声明,这次事件并未导致客户资料的损失。其余受影响的两家机构的身份尚未公开。
在上个月的另一个安全事件中,Okta 许多现任和过去的员工的数据,包括姓名、健康保险计划号码及社会安全号,被发现在 [其一个第三
黑洞加速器安卓
