Компания Okta завершила расследование по факту взлома ее системы поддержки клиентов, произошедшего в прошлом месяце. Как оказалось, хакеры получили доступ к данным всех клиентов компании, а не 1% пользователей, как сообщалось изначально.
В конце октября текущего года компания Okta, крупный поставщик систем управления доступом и идентификацией, сообщила о взломе. Тогда в компании заявили, что хакеры использовали украденные учетные данные и получили доступ к файлам, содержащим cookie и токены сеансов, которые клиенты Okta загружали в ее систему поддержки.
В частности, в руки атакующих попали файлы HTTP Archive (HAR), которые нужны для воспроизведения возникающих у пользователей ошибок и используются в ходе устранении различных проблем. Эти файлы могут содержать конфиденциальные данные, включая cookies и токены сеансов, которые в итоге могли использоваться хакерами для захвата учетных записей клиентов Okta.
При этом в Okta уверяли, что в ходе атаки пострадали данные лишь 134 клиентов (менее 1% из 18 400 клиентов компании). Известно, что среди пострадавших были такие крупные компании, как BeyondTrust, специализирующаяся на управлении идентификацией, Cloudflare и менеджер паролей 1Password.
Как стало известно теперь, дальнейшее расследование последствий этого инцидента показало, что злоумышленники также «загрузили отчет, содержащий имена и адреса электронной почты всех пользователей системы поддержки клиентов Okta».
Украденный отчет включал такие поля, как полное имя, имя пользователя, электронная почта, название компании, тип пользователя, адрес, дата последнего изменения/сброса пароля, роль, номер телефона, номер мобильного телефона, часовой пояс и идентификатор федерации SAML.
«Атака затронула всех клиентов Okta Workforce Identity Cloud (WIC) и Customer Identity Solution (CIS), за исключением клиентов в наших средах FedRamp High и DoD IL4 (в этих средах используется отдельная система поддержки, к которой злоумышленники не имели доступа). Система поддержки Auth0/CIC так же не была затронута этим инцидентом», — сообщают в компании теперь.
Впрочем, Okta уточняет, что для 99,6% пользователей, перечисленных в упомянутом выше отчете, единственной доступной контактной информацией были полное имя и email-адрес. Кроме того, компания заверила, что учетные данные клиентов раскрыты не были.
Отмечается, что многие из пострадавших пользователей являлись администраторами, а 6% из них не использовали многофакторную аутентификацию для защиты от попыток несанкционированного входа.
Также в компании говорят, что «обнаружили дополнительные отчеты и кейсы поддержки, к которым получили доступ злоумышленники». Так, среди них были доступ к данным «сертифицированных пользователей Okta и некоторых контактов клиентов Okta Customer Identity Cloud (CIC)», и к информации о сотрудниках самой Okta.
«Хотя у нас нет прямых доказательств того, что [украденная] информация активно эксплуатируется злоумышленниками, существует вероятность, что хакеры могут использовать ее для атак на клиентов Okta с помощью фишинга или социальной инженерии», — предупреждает Глава Okta по безопасности, Дэвид Брэдбери (David Bradbury).
Чтобы защититься от потенциальных атак, Okta рекомендует клиентам следующее:
- внедрить МФА для административного доступа, предпочтительно используя устойчивые к фишингу методы, такие как Okta Verify FastPass, FIDO2 WebAuthn или смарт-карты PIV/CAC;
- разрешить binding сеансов администраторов, чтобы требовать повторной аутентификации для сеансов с новых IP-адресов;
- установить таймаут для сеанса администратора не более 12 часов с 15-минутным временем простоя, в соответствии с рекомендациями NIST;
- повысить осведомленность сотрудников о фишинге и сохранять бдительность в отношении попыток фишинга, усиливая процессы проверок, особенно для рискованных действий.
Напомним, что это далеко не первый взлом Okta за последние годы. К примеру, в 2022 году хак-группа Lapsus$ скомпрометировала Okta, и тогда атака затронула около 2,5% клиентов компании (около 370 компаний). Позже представители компании выразили сожаление, что не раскрыли подробности об этом взломе сразу, а также поделились детальной подробной хронологией инцидента и его расследования.
Также в прошлом году одноразовые пароли (OTP), которые Okta отправляет клиентам посредством SMS, были украдены группой угроз Scatter Swine (она же 0ktapus), которая после этого взломала компанию Twilio в августе 2022 года.