Компания Okta, предоставляющая инструменты идентификации, такие как многократная аутентификация и единый вход для тысяч бизнесов, столкнулась с нарушением безопасности своего отдела поддержки клиентов. Согласно информации от KrebsOnSecurity, инцидент затронул “очень малое количество” клиентов. Однако похоже, что злоумышленники имели доступ к платформе поддержки Okta в течение по крайней мере двух недель до того, как компания полностью ликвидировала последствия вторжения.
В совете, отправленном клиентам 19 октября, Okta сообщила, что обнаружила враждебную активность, использующую доступ к украденным учетным данным для входа в систему управления обращениями в поддержку Okta. Злоумышленник смог просмотреть файлы, загруженные некоторыми клиентами Okta в рамках недавних обращений в поддержку.
Когда Okta решает проблемы с клиентами, она часто просит предоставить запись сессии веб-браузера. Эти файлы являются чувствительными, так как они включают в себя куки и токены сессии клиента, которые нарушители могут использовать для имитации действительных пользователей.
Компания BeyondTrust, один из клиентов Okta, получила уведомление от Okta. Марк Майфрет, главный технический директор BeyondTrust, подчеркнул, что уведомление пришло более чем через две недели после того, как его компания предупредила Okta о возможной проблеме.
В интервью KrebsOnSecurity, заместитель главного информационного безопасника Okta Шарлотта Уайли сказала, что компания первоначально полагала, что предупреждение от BeyondTrust 2 октября не было результатом нарушения в ее системах. Однако к 17 октября компания определила и локализовала инцидент.
Раскрытие информации от Okta произошло вскоре после того, как были взломаны казино Caesar’s Entertainment и MGM Resorts. В обоих случаях злоумышленники смогли убедить сотрудников сбросить требования многократного входа для учетных записей администратора Okta.
В марте 2022 года Okta раскрыла информацию о нарушении безопасности от хакерской группы LAPSUS$. Уайли отказалась отвечать на вопросы о том, сколько времени нарушитель мог иметь доступ к учетной записи компании или кто мог стоять за атакой. Однако она сказала, что компания считает, что это противник, с которым они сталкивались ранее.
Okta опубликовала пост об этом инциденте, который включает некоторые “индикаторы компрометации”, которые клиенты могут использовать, чтобы узнать, были ли они затронуты. Но компания подчеркнула, что “все клиенты, которых это затронуло, были уведомлены”.
BeyondTrust опубликовала сообщение в блоге о своих выводах.