Berichten zufolge konnten Hacker im Rahmen aktueller Supportfälle Dateien einsehen, die von bestimmten Okta-Kunden hochgeladen wurden, gab David Bradbury, Chief Security Officer von Okta, zu. „Es ist zu beachten, dass die Okta-Unterstützung „Das Fallmanagementsystem ist vom produktiven Okta-Dienst getrennt, der voll funktionsfähig ist und nicht beeinträchtigt wurde“, erwähnte er in einem Blogbeitrag am späten Freitag (21. Oktober).
Bradbury sagte, dass der Okta-Support Kunden bitten wird, ein HTTP-Archiv hochzuladen (HAR)-Datei, die die Fehlerbehebung von Problemen durch Replizieren der Browseraktivität ermöglicht.
„HAR-Dateien können auch sensible Daten enthalten, einschließlich Cookies und Sitzungstoken, die böswillige Akteure verwenden können, um sich als gültige Benutzer auszugeben. Okta hat mit betroffenen Kunden zusammengearbeitet, um Nachforschungen anzustellen, und Maßnahmen zum Schutz unserer Kunden ergriffen, einschließlich der Sperrung eingebetteter Sitzungstoken.“ „, informierte er.
Okta-Mail an Kunden
Alle Kunden, die von der Sicherheitsverletzung betroffen waren, wurden vom Unternehmen benachrichtigt. In einer Mitteilung, die am 19. Oktober an eine nicht genannte Anzahl von Kunden verschickt wurde, sagte Okta, es habe „gegnerische Aktivitäten identifiziert, die den Zugriff auf gestohlene Zugangsdaten nutzten, um auf das Support-Fallverwaltungssystem von Okta zuzugreifen.“ Der Bedrohungsakteur konnte Dateien einsehen, die von bestimmten Okta-Kunden im Rahmen aktueller Supportfälle hochgeladen wurden.“
„Okta hat mit betroffenen Kunden zusammengearbeitet, um Nachforschungen anzustellen, und Maßnahmen zum Schutz unserer Kunden ergriffen, einschließlich der Sperrung eingebetteter Sitzungstoken“, heißt es in der Empfehlung weiter. „Im Allgemeinen empfiehlt Okta, alle Anmeldeinformationen und Cookies/Sitzungstokens in einer HAR-Datei zu bereinigen, bevor sie freigegeben wird.“
Wie der Hackerangriff entdeckt wurde
Sicherheitsfirma BeyondTrustdas Okta nutzt, gab an, das Unternehmen am 2. Oktober über einen möglichen Verstoß informiert zu haben, nachdem es einen Kompromittierungsversuch in seinem Netzwerk festgestellt hatte.
Der Vorfall begann, als die Sicherheitsteams von BeyondTrust einen Angreifer entdeckten, der versuchte, mithilfe eines gültigen Sitzungscookies, der aus dem Supportsystem von Okta gestohlen wurde, auf ein internes Okta-Administratorkonto zuzugreifen.
„BeyondTrusts eigenes Identity Security Insights-Tool warnte das Team vor dem Angriff und es konnte den gesamten Zugriff blockieren und überprüfen, dass der Angreifer keinen Zugriff auf irgendwelche Systeme erhalten hatte“, sagte das Unternehmen.