Kimlik yönetimi alanında hizmet veren büyük şirketlerden biri olan Okta, 28 Eylül ile 17 Ekim tarihleri arasında bir tehdit aktörü tarafından müşteri destek sistemine erişim sağlandıktan sonra 134 müşterisine ait verilerin ele geçirildiğini belirtti. Şirket, günlüklerdeki şüpheli indirmeleri tespit edememesini ise 2 haftadan fazla zaman aralığına bağlayarak savundu.
Okta tarafından resmi sitesinde paylaşılan blog gönderisinde erişilen bazı dosyaların, bir web sitesi ile tarayıcı arasındaki etkileşimleri izleyen HTTP Arşivi (HAR) dosyaları olduğu belirtildi. Bu HAR dosyalarının, oturum ele geçirme saldırıları için kullanılabilecek oturum belirteçleri içerdiği belirtiliyor.
Şirket, tehdit aktörleri tarafından bu oturum belirteçlerinin 5 müşterinin Okta hesaplarını ele geçirmek için kullanıldığını belirtti. Şuana kadar 1Password, CloudFlare ve BeyondTrust tarafından resmi olarak bu saldırıdan etkilendiklerine dair açıklamalar geldi. Ancak geriye kalan iki şirket ile ilgili bir detay verilmedi.
Okta, gerçekleşen saldırının müşteri destek sistemindeki bir hizmet hesabından kaynaklandığını açıkladı. Soruşturma kapsamında ulaşılan bilgilerden biri de bir Okta çalışanının şirket bilgisayarında kurulu Chrome tarayıcısında kişisel Google profil oturumunu açtığı ortaya çıkarılmış. Şirket çalışanına ait kullanıcı adı ve şifresinin de kişisel Google hesabına kaydedilmiş ve muhtemelen de çalışanın kişisel Google hesabının veya kişisel cihazının ele geçirilmesinden dolayı bu bilgilerin ortaya çıkmış olabileceği üzerinde duruluyor.
Okta tarafından yayınlanan zaman çizelgesinde, 1Password’ün ilk olarak 29 Eylül’de şüpheli bir etkinliği bildirdiğini ancak Okta’nın güvenliği ihlal edilen hizmet hesabını 17 Ekim’e kadar devre dışı bırakmadığı görülüyor.
2 Ekimde benzer bir etkinlik Beyond Trust, 12 Ekim’de adı açıklanmayan üçüncü bir müşteri de şirketi bilgilendirmiş. Okta ise 18 Ekim’de adı açıklanmayan bir müşteriyi ve 19 Ekim’de CloudFlare’i hedef olduklarına dair bilgilendirmiş.Bu gelişmelerden sonra Okta, müşterilerini bilgilendirerek bu güvenlik olayından etkilenip-etkilenmediklerine dair doğrulama almaya başlamış. 20 Ekim’de ise herkese açık olarak bu güvenlik olayını blog gönderisiyle duyurmuş.
