Identiteits- en authenticatiebeheerprovider Okta maakte vrijdag bekend dat de recente inbreuk op het supportcasemanagementsysteem 134 van zijn 18.400 klanten trof.
Het merkte verder op dat de ongeautoriseerde indringer van 28 september tot 17 oktober 2023 toegang kreeg tot zijn systemen en uiteindelijk toegang kreeg tot HAR-bestanden met sessietokens die konden worden gebruikt voor sessiekapingsaanvallen.
“De bedreigingsacteur kon deze sessietokens gebruiken om de legitieme Okta-sessies van vijf klanten te kapen”, aldus David Bradbury, Chief Security Officer van Okta.
Drie van de getroffenen zijn 1Password, BeyondTrust en Cloudflare. 1Password was het eerste bedrijf dat op 29 september verdachte activiteiten meldde. Op 12 en 18 oktober werden twee andere niet bij naam genoemde klanten geïdentificeerd.
Okta maakte de beveiligingsgebeurtenis op 20 oktober formeel bekend en verklaarde dat de bedreigingsacteur gebruik maakte van toegang tot een gestolen inloggegevens om toegang te krijgen tot Okta’s ondersteuningsbeheersysteem.
Nu heeft het bedrijf wat meer details gedeeld over hoe dit gebeurde.
Er werd gezegd dat de toegang tot het klantenondersteuningssysteem van Okta misbruik maakte van een serviceaccount dat in het systeem zelf was opgeslagen en dat de rechten had om klantenondersteuningsgevallen te bekijken en bij te werken.
Uit verder onderzoek bleek dat de gebruikersnaam en het wachtwoord van het serviceaccount waren opgeslagen in het persoonlijke Google-account van een medewerker en dat het individu had ingelogd op zijn persoonlijke account in de Chrome-webbrowser van zijn door Okta beheerde laptop.
“De meest waarschijnlijke manier om deze inloggegevens openbaar te maken is het compromitteren van het persoonlijke Google-account of persoonlijke apparaat van de werknemer”, aldus Bradbury.
Okta heeft sindsdien de sessietokens ingetrokken die zijn ingebed in de HAR-bestanden die door de getroffen klanten worden gedeeld en het gecompromitteerde serviceaccount uitgeschakeld.
Het heeft ook het gebruik van persoonlijke Google-profielen binnen zakelijke versies van Google Chrome geblokkeerd, waardoor medewerkers niet kunnen inloggen op hun persoonlijke accounts op door Okta beheerde laptops.
“Okta heeft sessietokenbinding op basis van netwerklocatie vrijgegeven als productverbetering om de dreiging van sessietokendiefstal tegen Okta-beheerders te bestrijden”, aldus Bradbury.
“Okta-beheerders zijn nu gedwongen zich opnieuw te authenticeren als we een netwerkwijziging detecteren. Deze functie kan door klanten worden ingeschakeld in het gedeelte voor vroege toegang van het Okta-beheerportaal.”
De ontwikkeling komt dagen nadat Okta onthulde dat persoonlijke informatie van 4.961 huidige en voormalige werknemers openbaar werd gemaakt nadat de leverancier van de gezondheidszorgdekking, Rightway Healthcare, op 23 september 2023 werd geschonden. Gecompromitteerde gegevens omvatten namen, burgerservicenummers en ziektekosten- of ziektekostenverzekeringen. plannen.
