Okta漏洞与员工的Google帐户相关联,影响了134名客户

数据泄露的一些最著名的受害者包括Cloudflare、1Password 和 BeyondTrust。Okta的调查确定此次违规行为与该公司一名员工的Google帐户有关。

在2023年10月首次发布数据泄露公告后的最新更新中,著名的身份和访问管理(IAM)提供商Okta透露,受影响的客户数量现已达到134个。此次泄露使威胁行为者能够获得未经授权的访问权限文件。

Okta首席安全官David Bradbury在11月4日周五的更新中解释道:“其中一些文件是包含会话令牌的HAR文件,这些会话令牌可用于会话劫持攻击。”

2023年9月28日至10月17日期间,Okta遭遇了一次复杂的攻击,威胁行为者通过破坏被盗帐户来访问Okta的支持案例管理系统。之后,威胁参与者获得了查看、更新支持案例和提取敏感数据(包括会话令牌)的能力。

10月19日,Okta在其客户BeyondTrust发出有关可疑活动的通知后意识到了此次违规行为。受此次泄露影响的主要客户包括Cloudflare和1Password。1Password首席技术官Pedro Canahuati披露了这一事件,并确认威胁行为者在攻击期间无法访问或提取用户数据。

最初,该事件被认为是由于威胁行为者利用被盗的凭据访问了IT员工的Okta会话令牌,从而获得了1Password的Okta管理门户的访问权限。然而,布拉德伯里后来透露,调查确定此次违规行为与该公司一名员工的谷歌账户有关。

“Okta Security发现一名员工在Okta管理的笔记本电脑的Chrome浏览器上登录了他们的个人Google个人资料,”Bradbury说。“服务帐户的用户名和密码已保存到员工的个人谷歌帐户中。泄露此凭证的最可能途径是泄露员工的个人Google帐户或个人设备。”

至于为什么Okta花了两周时间才解决这个问题,Bradbury进一步解释说,“Okta在系统日志中没有发现任何可疑的下载。” 他们指出,当有人查看支持案例中附加的文件时,他们的日志中有一个特殊的记录。但是,如果一个人直接进入客户支持系统中的“文件”部分,则会创建不同的记录。攻击者在攻击中使用了这种方法。

“Okta首先调查了对支持案例的访问,然后检查了与这些案例相关的日志。2023年10月13日,BeyondTrust向Okta Security提供了与攻击者关联的IP地址。有了这些信息,Okta发现了更多与受感染帐户相关的文件访问事件。”Bradbury说道。

在评论中,Astrix Security研究团队负责人Tal Skverer讨论了在该公司发行的设备上使用个人帐户的情况,并指出“服务帐户跳过了普通帐户所受到的安全措施,例如MFA,因此; 他们的资历极易受到攻击。”

“最重要的是,服务帐户遵循最小特权原则。斯科韦勒强调道。“为了限制他们的权限,他们的使用应该仅限于非常独特的功能。”

Okta漏洞是网络安全社区的主要担忧,因为Okta是许多组织(包括财富500强公司和政府机构)值得信赖的IAM提供商。此次泄露事件还凸显了威胁行为者的日益复杂性,以及组织需要采取措施保护其数据免受越来越有针对性的攻击的需要。

尽管如此,Okta的最新安全漏洞是该公司遭受的第二次网络攻击。2022年3月,LAPSUS$黑客声称在Telegram上泄露了大量数据后,攻破了Okta和Microsoft。

组织可以采取多种措施来保护自己,包括:

1. 实施强密码策略并要求用户使用多重身份验证 (MFA)。 MFA 要求用户除了密码之外还提供第二种形式的身份验证,例如手机中的代码,从而为用户帐户增加了一层额外的安全性。
2. 定期更新安全软件和补丁。 软件开发人员发布安全更新以修补已知漏洞。通过定期更新软件和补丁,组织可以帮助降低被攻击者利用的风险。
3. 对员工进行网络安全最佳实践教育。 应培训员工如何识别和避免网络钓鱼攻击,以及如何保护其设备和数据。
4. 监视他们的系统是否有可疑活动。 组织应该建立适当的系统来监控其系统是否存在可疑活动,例如异常登录尝试或数据泄露。

发表评论

评论已关闭。

相关文章