Güvenlik hizmetleri sağlayıcısı Okta firmasının geçtiğimiz ay Yardım Merkezi ortamının ihlaline ilişkin yaptığı soruşturma, bilgisayar korsanlarının tüm müşteri destek sistemi kullanıcılarına ait verileri elde ettiğini ortaya koydu .Şirket, tehdit aktörünün ayrıca tüm Okta sertifikalı kullanıcıların iletişim bilgilerini içeren ek raporlara ve destek vakalarına da eriştiğini belirtiyor.
Kasım ayının başında şirket, bir tehdit aktörünün müşteri destek sistemindeki dosyalara yetkisiz erişim sağladığını ve ilk kanıtların sınırlı bir veri ihlaline işaret ettiğini açıkladı. O sırada yapılan ilk açıklamalara göre, bilgisayar korsanları 134 Okta müşterinin çerezlerini ve oturum belirteçlerini içeren HAR dosyalarına erişmişti.
Şimdi ise saldırının daha detaylı araştırılması, tehdit aktörünün ayrıca “tüm Okta müşteri destek sistemi kullanıcılarının adlarını ve e-posta adreslerini içeren bir rapor indirdiğini ortaya çıkardı. Şirkete göre, çalınan raporda tam ad, kullanıcı adı, e-posta, şirket adı, kullanıcı türü, adres, son şifre değişikliği/sıfırlama, rol, telefon numarası, cep telefonu numarası, saat dilimi ve SAML Federasyon Kimliği alanları yer alıyordu.
Ancak Okta, raporda listelenen kullanıcıların %99,6’sı için mevcut olan tek iletişim bilgilerinin tam ad ve e-posta adresi olduğunu açıkladı. Ayrıca, şirket hiçbir kimlik bilgisinin açığa çıkmadığını garanti etti. Okta’nın açıklamasında, açığa çıkan kullanıcıların çoğunun yönetici olduğu ve bunların %6’sının yetkisiz oturum açma girişimlerine karşı çok faktörlü kimlik doğrulama savunmasını etkinleştirmediği belirtiliyor.
Şirket, davetsiz misafirlerin Okta çalışan bilgilerinin yanı sıra “Okta sertifikalı kullanıcılar ve bazı Okta Müşteri Kimliği Bulutu (CIC) müşteri irtibat kişilerinin” verilerine de eriştiğini belirtiyor. Çoğu zaman isimler ve e-postalar, bir tehdit aktörünün keşif aşamalarında kendilerine hizmet edebilecek veya daha sofistike bir saldırı hazırlamak için daha fazla ayrıntı elde etmelerine yardımcı olabilecek kimlik avı veya sosyal mühendislik saldırıları başlatması için yeterlidir.
Okta müşterileri ne yapmalı?
Olası saldırılara karşı korunmak için Okta müşterilerine şu önerilerde bulunuyor: “Yönetici erişimi için tercihen Okta Verify FastPass, FIDO2 WebAuthn veya PIV/CAC Akıllı Kartlar gibi kimlik avına dayanıklı yöntemler kullanarak MFA uygulayın. Yeni IP adreslerinden gelen yönetici oturumları için yeniden kimlik doğrulama gerektirecek şekilde yönetici oturumu bağlamayı etkinleştirin. Yönetici oturumu zaman aşımlarını NIST yönergelerine göre 15 dakikalık boşta kalma süresiyle maksimum 12 saate ayarlayın. Kimlik avı girişimlerine karşı tetikte kalarak ve özellikle yüksek riskli eylemler için BT Yardım Masası doğrulama süreçlerini güçlendirerek kimlik avı farkındalığını artırın.”
