Tin tặc đã đánh cắp token truy cập từ bộ phận hỗ trợ của Okta

 (krebsonsecurity.com)
1 điểm bởi GN⁺ 2023-10-22 | 1 bình luận | Chia sẻ qua WhatsApp
  • Okta, công ty cung cấp các công cụ danh tính như xác thực đa yếu tố và đăng nhập một lần, đã gặp phải một sự cố vi phạm bảo mật liên quan đến bộ phận hỗ trợ khách hàng.
  • Dù sự cố này chỉ ảnh hưởng đến một "số lượng rất nhỏ" khách hàng, tin tặc đã có thể truy cập nền tảng hỗ trợ của Okta trong ít nhất 2 tuần trước khi hành vi xâm nhập bị chặn hoàn toàn.
  • Tin tặc đã truy cập các thông tin xác thực bị đánh cắp để vào hệ thống quản lý ca hỗ trợ của Okta, từ đó có thể xem các tệp mà khách hàng Okta đã tải lên trong các ca hỗ trợ gần đây.
  • Okta thường xuyên yêu cầu khách hàng cung cấp tệp HTTP Archive (HAR) để khắc phục sự cố. Các tệp này có thể chứa thông tin nhạy cảm như cookie và session token, và tin tặc có thể lợi dụng chúng để mạo danh người dùng hợp lệ.
  • Okta cho biết đã thực hiện các biện pháp để bảo vệ khách hàng, bao gồm thu hồi các session token được nhúng, đồng thời khuyến nghị cần làm sạch mọi thông tin xác thực và cookie/session token trước khi chia sẻ tệp HAR.
  • BeyondTrust, một khách hàng của Okta, đã cảnh báo Okta về một vấn đề tiềm ẩn từ hai tuần trước khi Okta công bố thông báo. BeyondTrust đã phát hiện nỗ lực tạo một tài khoản quản trị trong môi trường Okta của họ bằng cách sử dụng tài khoản Okta được gán cho một kỹ sư của họ.
  • Ban đầu, Okta không cho rằng cảnh báo từ BeyondTrust là do sự xâm nhập trong hệ thống của mình, nhưng đến ngày 17 tháng 10, Okta đã xác định và ngăn chặn được vụ việc.
  • Charlotte Wylie, phó giám đốc an ninh thông tin của Okta, không nêu cụ thể số lượng khách hàng đã nhận được cảnh báo về vấn đề bảo mật tiềm ẩn, nhưng mô tả đó là một phần "rất, rất nhỏ" trong hơn 18.000 khách hàng của công ty.
  • Vụ vi phạm này xảy ra sau các vụ tấn công gần đây nhằm vào tập đoàn sòng bạc Caesar’s Entertainment và MGM Resorts, trong đó kẻ tấn công đã thành công trong việc đặt lại yêu cầu đăng nhập đa yếu tố cho các tài khoản quản trị Okta.
  • Okta tin rằng đối thủ đứng sau vụ việc lần này là một tác nhân đe dọa đã được biết đến trước đây, từng nhắm vào Okta và khách hàng của hãng.
  • Okta đã đăng một bài viết trên blog về sự cố này, trong đó có các "dấu hiệu xâm nhập" để khách hàng có thể kiểm tra xem họ có bị ảnh hưởng hay không. Công ty khẳng định đã gửi thông báo tới tất cả khách hàng bị ảnh hưởng.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-10-22
Ý kiến trên Hacker News
  • Công ty an ninh mạng Okta đã nhận được cảnh báo từ BeyondTrust về hoạt động đáng ngờ, nhưng ban đầu không tìm thấy dấu vết xâm nhập.
  • Okta chỉ xác nhận và ngăn chặn vụ xâm nhập sau khi BeyondTrust tiếp tục khẳng định vấn đề.
  • Bài đăng blog của Okta về sự cố này không đề cập đến cảnh báo từ bên thứ ba, làm dấy lên lo ngại về tính minh bạch.
  • Charlotte Wylie, Phó giám đốc an ninh thông tin của Okta, xác nhận rằng công ty ban đầu đã phớt lờ cảnh báo từ BeyondTrust nhưng sau đó đã xác minh vụ xâm nhập.
  • Đã có chỉ trích về sự chậm trễ trong việc thừa nhận và ứng phó với vụ xâm nhập, đặc biệt khi xét đến vai trò của Okta là chuyên gia về an ninh mạng và xác thực.
  • Một số bình luận cho rằng các cổng kiểm soát quan trọng như SSO, OAuth, SAML và 2FA nên được vận hành on-premise thay vì phụ thuộc vào các giải pháp SaaS như Okta.
  • Có một kỳ vọng chung rằng các nhà cung cấp danh tính, trình quản lý mật khẩu và công ty VPN không bao giờ nên bị tấn công vì vai trò bảo mật của họ.
  • Một số người dùng bày tỏ lo ngại về quyết định thuê ngoài nhân viên hỗ trợ của Okta, nhắc đến những rủi ro bảo mật tiềm ẩn do việc này gây ra.
  • Ý kiến về việc Okta mua lại đối thủ Auth0 là trái chiều, với một số người dùng bày tỏ lo ngại về sự tập trung hóa của các nhà cung cấp danh tính/xác thực.
  • Một số người dùng đang tìm kiếm các đề xuất về nhà cung cấp danh tính/xác thực tập trung đáng tin cậy.