Populyar parol idarəetmə həlli 1Password, dəstək sisteminin pozulmasından sonra sentyabrın 29-da Okta instansiyasında şübhəli fəaliyyət aşkar etdiyini söylədi, lakin heç bir istifadəçi məlumatının ifşa olunmadığını təkrarladı.
1Password CTO-su Pedro Canahuati, bazar ertəsi verdiyi bildirişdə, “Biz dərhal fəaliyyəti dayandırdıq, araşdırdıq və istifadəçi məlumatlarında və ya digər həssas sistemlərdə, istər işçi, istərsə də istifadəçi ilə bağlı heç bir təhlükə tapmadıq” dedi.
İT komandasının üzvü Okta Support ilə HAR faylını paylaşdıqdan sonra, pozuntunun sessiya kukisindən istifadə edilərək baş verdiyi deyilir, təhdid aktyoru aşağıdakı hərəkətləri yerinə yetirir:
- İT komandası üzvünün istifadəçi idarəetmə panelinə daxil olmağa çalışdı, lakin Okta tərəfindən bloklandı.
- İstehsal Google mühitimizlə əlaqəli mövcud IDP yeniləndi.
- IDP aktivləşdirilib.
- İnzibati istifadəçilərin hesabatını tələb etdi.
Şirkət, İT komandasının üzvü “tələb olunan” inzibati istifadəçi hesabatı ilə bağlı e-poçt aldıqdan sonra zərərli fəaliyyət barədə xəbərdarlıq edildiyini söylədi.
1Password daha sonra bildirib ki, o vaxtdan bəri Okta olmayan IDP-lerden girişlərini rədd etməklə, inzibati istifadəçilər üçün sessiya vaxtlarını azaltmaqla, adminlər üçün daha sərt çox faktorlu autentifikasiya (multi-factor authentication, MFA) qaydaları və super idarəçilərin sayını azaltmaqla təhlükəsizliyi gücləndirmək üçün bir sıra addımlar atıb.
“Okta dəstəyi ilə təsdiqlənərək, müəyyən edilib ki, bu insident təhdid aktyorlarının super admin hesablarını pozacaqları, sonra autentifikasiya axınlarını manipulyasiya etməyə və təsirə məruz qalan təşkilat daxilində istifadəçiləri təqlid etmək üçün ikinci dərəcəli identifikasiya provayderi yaratmağa çalışacaqları məlum kampaniya ilə oxşarlıqları bölüşür”, 1Password bildirib.
Qeyd etmək lazımdır ki, identifikasiya xidmətləri provayderi daha əvvəl yüksək idarəçi icazələri almaq üçün təhdid aktyorları tərəfindən təşkil edilən sosial mühəndislik hücumları barədə xəbərdarlıq etmişdi.
Bu məqalənin yazıldığı andan etibarən, hücumların, yüksək imtiyazlar əldə etmək üçün sosial mühəndislik hücumlarından istifadə edərək Okta-yı hədəf alma təcrübəsi olan Scattered Spider (aka 0ktapus, Scatter Swine və ya UNC3944) ilə hər hansı bir əlaqəsinin olub-olmadığı hələlik məlum deyil.
İnkişaf Okta-nın naməlum təhlükə aktorlarının dəstək işinin idarə edilməsi sisteminə daxil olmaq və müştərilərinin şəbəkələrinə sızmaq üçün istifadə edilə bilən həssas HAR fayllarını oğurlamaq üçün oğurlanmış etimadnaməsini istifadə etdiyini aşkar etdikdən bir neçə gün sonra baş verir.
Şirkət The Hacker News-a bildirib ki, hadisə onun müştəri bazasının təxminən 1 faizinə təsir edib. Hadisədən təsirlənən digər müştərilərdən bəzilərinə BeyondTrust və Cloudflare daxildir.
“Gördüyümüz fəaliyyət göstərirdi ki, onlar daha mürəkkəb hücum üçün məlumat toplamaq məqsədilə aşkarlanmamaq niyyəti ilə ilkin kəşfiyyat aparıblar”, 1Password bildirib.
