Okta Security は、自社システムに対するサイバー攻撃が再び成功したことを認めざるを得ませんでした。 ただし、今回は一部のユーザーのみが影響を受けたとされており、報告すべきデータ漏洩はなかった。
Okta Security は、盗まれた認証情報を使用して Okta のサポート ケース管理システムにアクセスした敵対的なアクティビティを特定していると報告しています。 最初の報告によると、この攻撃は、2022 年 XNUMX 月にハッカー グループ Lapsus$ がサードパーティ技術者のラップトップを介して Okta ネットワークへの侵入を発見したときよりも大幅に小規模だったと言われています。
オンラインを短期間または数週間使用しましたか?
Octa は、攻撃者がネットワークに短期間かつ無害なアクセスを行っただけであると報告していますが、Krebs on Security ポータルは、攻撃者が 少なくとも XNUMX 週間、Octa カスタマー サービス プラットフォームにアクセスできた、会社が気づいて侵入を止める前に。
Okta 自体は次のように報告しています。「Okta Security は、盗まれた認証情報へのアクセスを使用して Okta のサポート ケース管理システムにアクセスする敵対者の活動を特定しました。 攻撃者は、最近のサポート ケースの一環として特定の Okta 顧客によってアップロードされたファイルを閲覧できました。 Okta のサポート ケース管理システムは、完全に機能しており、影響を受けていない Okta Production サービスとは別のものであることに注意してください。 さらに、Auth0/CIC ケース管理システムはこのインシデントの影響を受けません。」
影響を受ける Octa の顧客に通知
オクタ氏は、影響を受けるすべての顧客に通知したと述べた。 通常の業務運営の一環として、Okta サポートは顧客に HTTP アーカイブ (HAR) ファイルをアップロードするよう要求します。これにより、ブラウザーのアクティビティを複製することでトラブルシューティングが可能になります。 HAR ファイルには、Cookie やセッション トークンなどの機密データが含まれる場合もあり、悪意のある攻撃者がこれらを使用して有効なユーザーになりすますことができます。 Okta は影響を受けた顧客と協力して調査を行い、埋め込みセッション トークンの一時停止など、顧客を保護するための措置を講じてきました。 一般に、Okta では、HAR ファイルをリリースする前に、HAR ファイル内のすべての資格情報と Cookie/セッション トークンをサニタイズすることをお勧めします。
詳細は Okta.com をご覧ください