身分及存取管理服務業者Okta在10月公開確認自家服務遭駭的消息,現在已完成入侵事件調查。Okta確認攻擊者存取了Okta客戶支援系統內134位客戶相關檔案,其中一些檔案包含對話令牌(Session Token)的HAR(HTTP Archive)檔案,因此被攻擊者用於劫持並控制了5個客戶的Okta對話。
Okta在事件發生時,將調查的焦點放在存取支援案例上,並且評估了與這些案例相關的日誌,而後由於Okta的合作夥伴,同為身分管理服務業者的BeyondTrust,提供了一個與攻擊者相關的IP位置給Okta,安全團隊便利用這個線索,確認了與受駭帳戶相關的額外檔案存取事件
攻擊者利用Okta系統中的服務帳戶,執行了這次入侵行動,但Okta並無法完全確定服務帳戶的使用者名稱和密碼洩漏的途徑,僅能透過調查結果猜測。被攻擊者竊取的服務帳戶擁有查看和更新客戶支援檔案的權限,Okta針對這個服務帳號的使用狀態進行調查,安全團隊發現一名員工在Okta管理的筆電上,於Chrome瀏覽器登入了個人的Google帳號。
也就是說,這個服務帳號的使用者名稱和密碼,被儲存到員工的個人Google帳戶中,Okta認為,是這名員工的個人Google帳戶或是個人裝置遭到入侵,而洩露了儲存在上面的服務帳戶憑證。
在為期14天的調查期間,Okta沒有在其日誌中找到可疑的下載行為,Okta資安長David Bradbury解釋,當使用者開啟並查看支援案例相關的附件時,會產生一個特定的日誌事件類型和ID,但如果使用者在客戶支援系統中,直接導航至檔案頁籤,像是這次攻擊者的行為,在日誌事件系統中便會產生完全不同的紀錄ID。
這個事件受害者之一的Cloudflare,在事件爆發後,指責Okta沒有採取恰當的措施,導致Cloudflare也受害。根據Okta所揭露的時間軸來看,1Password在9月29日就已經向Okta回報存在可疑的活動,BeyondTrust在10月2日也回報偵測到可疑活動,10月12日更有第3家的客戶向Okta回報。
Okta從9月29日開始調查這些可疑活動,但一直到了10月13日BeyondTrust提供了IP線索,Okta才在10月16日鎖定之前未注意到遭竊取的服務帳戶。不過,Okta並沒有及時作出處理,使得Cloudflare在10月18日還被入侵,雖然Cloudflare沒有客戶資料被影響,但攻擊者的確使用竊取到的令牌存取了Cloudflare的系統。
目前Okta採取的應對措施,包括停用受入侵的服務帳戶,並阻擋在Chrome登入個人Google帳戶,Okta也在客戶支援系統部署額外的監控規則,另外,現在Okta管理員對話令牌可以綁定網路位置,當系統偵測到網路變更,Okta管理員會被需要重新進行身分驗證,以進一步保護令牌安全性。
熱門新聞
2024-05-19
2024-05-20
2024-05-20
2024-05-20
2024-05-18
2024-05-20