Peretas mencuri token akses dari unit dukungan Okta

 (krebsonsecurity.com)
1 poin oleh GN⁺ 2023-10-22 | 1 komentar | Bagikan ke WhatsApp
  • Okta, perusahaan yang menyediakan alat identitas seperti autentikasi multi-faktor dan single sign-on, mengalami insiden pelanggaran keamanan yang terkait dengan departemen dukungan pelanggannya.
  • Meskipun insiden ini hanya memengaruhi "sejumlah yang sangat kecil" pelanggan, para peretas dapat mengakses platform dukungan Okta setidaknya selama dua minggu sebelum intrusi tersebut sepenuhnya dihentikan.
  • Para peretas mengakses kredensial yang dicuri dan masuk ke sistem manajemen kasus dukungan Okta, yang memungkinkan mereka melihat file yang diunggah pelanggan Okta sebagai bagian dari kasus dukungan terbaru.
  • Okta sering meminta file HTTP Archive (HAR) dari pelanggan untuk pemecahan masalah. File-file ini dapat berisi informasi sensitif seperti cookie dan token sesi, yang dapat dimanfaatkan peretas untuk menyamar sebagai pengguna yang sah.
  • Okta telah mengambil langkah untuk melindungi pelanggan, termasuk mencabut token sesi bawaan, dan merekomendasikan agar semua kredensial serta token cookie/sesi dibersihkan sebelum membagikan file HAR.
  • BeyondTrust, pelanggan Okta, memberi tahu Okta tentang potensi masalah ini dua minggu sebelum Okta mengumumkannya. BeyondTrust mendeteksi upaya untuk membuat akun administrator di lingkungan Okta mereka dengan menggunakan akun Okta yang ditetapkan kepada salah satu insinyur mereka.
  • Pada awalnya Okta tidak mengira peringatan dari BeyondTrust disebabkan oleh pelanggaran di sistem mereka, tetapi pada 17 Oktober Okta telah memahami dan memblokir insiden tersebut.
  • Charlotte Wylie, Deputy Chief Information Security Officer di Okta, tidak mengungkapkan secara spesifik jumlah pelanggan yang menerima peringatan tentang potensi masalah keamanan ini, tetapi menggambarkannya sebagai "bagian yang sangat, sangat kecil" dari lebih dari 18.000 pelanggan.
  • Insiden pelanggaran ini terjadi setelah peretasan baru-baru ini terhadap raksasa kasino Caesar’s Entertainment dan MGM Resorts, ketika para penyerang berhasil mereset persyaratan login multi-faktor untuk akun administrator Okta.
  • Okta meyakini bahwa pihak lawan di balik pelanggaran ini adalah pelaku ancaman yang telah dikenal sebelumnya dan pernah menargetkan Okta serta para pelanggannya.
  • Okta telah menerbitkan posting blog tentang insiden ini, yang mencakup "indikator kompromi" agar pelanggan dapat memeriksa apakah mereka terdampak. Perusahaan menyatakan yakin bahwa mereka telah mengirim pemberitahuan kepada semua pelanggan yang terdampak.

Bacaan terkait

1 komentar

 
GN⁺ 2023-10-22
Komentar Hacker News
  • Perusahaan keamanan siber Okta menerima peringatan dari BeyondTrust tentang aktivitas mencurigakan, tetapi pada awalnya tidak menemukan tanda-tanda intrusi.
  • Okta baru mengonfirmasi dan memblokir intrusi tersebut setelah desakan berkelanjutan dari BeyondTrust.
  • Postingan blog Okta tentang insiden ini tidak menyebutkan pemberitahuan dari pihak ketiga, sehingga memunculkan kekhawatiran soal transparansi.
  • Deputi CISO Okta, Charlotte Wylie, mengonfirmasi bahwa perusahaan pada awalnya mengabaikan peringatan BeyondTrust tetapi kemudian memverifikasi adanya intrusi.
  • Kritik muncul atas keterlambatan dalam mengakui dan merespons intrusi, terutama mengingat peran Okta sebagai pakar keamanan siber dan autentikasi.
  • Beberapa komentar menyarankan agar penjaga gerbang penting seperti SSO, OAuth, SAML, dan 2FA dijalankan on-premise alih-alih bergantung pada solusi SaaS seperti Okta.
  • Ada ekspektasi umum bahwa penyedia identitas, pengelola kata sandi, dan perusahaan VPN seharusnya tidak pernah diretas karena peran keamanan mereka.
  • Sejumlah pengguna menyatakan kekhawatiran atas keputusan Okta untuk melakukan outsourcing staf dukungan mereka, dengan menyebut potensi risiko keamanan yang timbul.
  • Tanggapan terhadap akuisisi pesaingnya, Auth0, oleh Okta beragam, dengan beberapa pengguna menyuarakan kekhawatiran tentang sentralisasi penyedia identitas/autentikasi.
  • Sejumlah pengguna mencari rekomendasi untuk penyedia identitas/autentikasi terpusat yang dapat dipercaya.