Okta支援案件管理系統遭駭客入侵，股價大跌11%

專門提供身分及存取管理服務的Okta上周五（10/20）坦承，有駭客利用遭盜的憑證來存取該公司的支援案件管理系統，而Okta的合作夥伴BeyondTrust則說，該公司早在10月2日便察覺相關攻擊，當時也已知會Okta。身為Okta客戶的Cloudflare也以受害者的角度出面說明。消息傳出的當天，Okta股價即大跌11.57%，以75.57美元作收。

Okta安全長David Bradbury說明，此一入侵行動將允許駭客檢視最近特定客戶因需技術支援所上傳的檔案，此次的意外並未波及Auth0/CIC案件管理系統，且因該系統與Okta生產服務是分開的，因此亦未影響公司營運。

在正常的客戶支援流程中，Okta會要求客戶上傳一個HTTP Archive（HAR）檔案，這是一個可用來追蹤瀏覽器及網站之間的交流，以供Okta複製客戶的瀏覽器行為並嘗試解決問題。只是，HAR檔案中有時也會含有機密資訊，像是Cookie或是會話令牌，而這些資訊足以讓駭客用來假冒合法的使用者。

Okta已經通知所有受影響的客戶，並協助客戶展開調查與採取必要措施，包括撤銷會話令牌。一般而言，Okta通常會建議客戶在分享或上傳HAR檔案之前，應先刪除檔案中的所有憑證、Cookie與會話令牌。

Okta利用雲端軟體來協助企業管理使用者登入應用程式的身分驗證，或是讓開發者得以建置登入應用程式、網頁服務或裝置的身分驗證控制，《CNBC》分析，全球有些超大型企業採用Okta的登入身分管理系統，包括FedEx及Zoom等，使得Okta成為駭客的高價值攻擊目標。

另一方面，身為Okta客戶的資安業者Cloudflare則揭露了更多的細節。

Cloudflare內部採用了Okta的系統執行員工的身分驗證，而該公司是在10月18日察覺內部系統遭到攻擊，追查之下發現源頭為Okta，駭客利用Okta外洩的令牌進入了Cloudflare內部的Okta實例，由於及早發現，使得Cloudflare很快就作出了因應，並無任何客戶系統或資訊受到此一事件的影響。此外，Cloudflare是在24小時之後才收到Okta的通知。

Cloudflare表示，該公司所遭遇的情景與Okta所描述的相符，Cloudflare員工在近日建立並上傳了一個支援紀錄（Support Ticket），駭客在進入Okta客戶支援系統並檢視該檔案之後，挾持了該紀錄中的會話令牌，藉由所危害的兩名Cloudflare員工的帳戶，於10月18日存取Cloudflare系統。

此外，整合Okta系統的另一身分管理服務業者BeyondTrust也在同一天踢爆，該公司早在10月2日就察覺，有人利用自Okta客戶支援系統偷來的會話令牌，企圖存取BeyondTrust內部的Okta管理員帳戶，當時便曾通知Okta。

Cloudflare指責Okta沒有妥善處理此事，才令Cloudflare到了10月18日還受害，呼籲Okta應該要更早通知客戶，也應利用硬體金鑰來保障所有的系統。

Cloudflare亦建議Okta客戶應啟用硬體雙因素身分驗證（MFA）機制，詳細調查Okta實例上的所有密碼及MFA的變更，重設所有密碼，以及監控所有Okta帳戶、權限變更與新建立的使用者，也應重新審視會話過期政策以限制挾持攻擊。

這並不是Okta第一次因為沒能及時通知客戶而受到批評，去年3月時，Okta坦承駭客集團Lapsus$危害了一名第三方客戶支援工程師的帳戶，但Okta其實是1月就知道，只是沒有通知客戶。