يتسع نطاق اختراق مكتب المساعدة Okta ليؤثر على جميع المستخدمين
متخصص في إدارة الهوية والوصول (IAM). اوكتا حذرت شركة Okta العملاء من توخي الحذر، بعد أن أظهر تحقيقها المستمر في اختراق نظام إدارة دعم العملاء في Okta Help Center أدلة على أن جهة التهديد ربما تكون قد قامت باختراق بيانات أكثر بكثير مما كان يعتقد – في الواقع، جميع العملاء الذين استخدموا النظام قد يكون الآن في خطر.
وشهد الحادث ممثل تهديد الاستفادة من بيانات الاعتماد المسروقة – تم الحصول عليها من أحد موظفيها الذين استخدموا جهاز الشركة لتسجيل الدخول إلى حساب Google شخصي مُخترق – للوصول إلى نظام إدارة الحالة الخاص بـ Okta وعرض ملفات أرشيف HTTP (HAR) التي تم تحميلها من قبل العملاء للسماح لعملائها باستكشاف مشكلاتهم وإصلاحها.
يمكن أن تحتوي هذه الملفات أيضًا على بيانات مثل ملفات تعريف الارتباط ورموز الجلسة ذات القيمة بالنسبة لمجرم إلكتروني.
وفي ذلك الوقت، كان من المعتقد أن مجموعة فرعية صغيرة من العملاء قد تأثرت – وبعض هؤلاء عرّفوا عن أنفسهم من خلال إفصاحاتهم الخاصة – ولكن ظهرت الآن معلومات جديدة مكنت أوكتا من تحديد أن نطاق الاختراق أوسع بكثير من ذلك.
وقال كبير مسؤولي أمن المعلومات في Okta: “لقد قررنا أن جهة التهديد قامت بتشغيل وتنزيل تقرير يحتوي على أسماء وعناوين البريد الإلكتروني لجميع مستخدمي نظام دعم عملاء Okta”. ديفيد برادبري.
على هذا النحو، يتأثر جميع عملاء Okta Workforce Identity Cloud (WIC) وCustomer Identity Solution (CIS) بالهجوم السيبراني – باستثناء العملاء الموجودين في بيئات FedRamp High وDoD IL4 التابعة للحكومة الأمريكية. ولم يتأثر أيضًا نظام إدارة حالة دعم Auth0/CIC.
يحتوي التقرير الذي تم الحصول عليه على حقول تتضمن تاريخ إنشاء الحساب، آخر تسجيل دخول، الاسم الكامل، اسم المستخدم، عنوان البريد الإلكتروني، اسم الشركة، نوع المستخدم، العنوان، تاريخ آخر تغيير لكلمة المرور، المسمى الوظيفي، الوصف الوظيفي، رقم الهاتف، رقم الهاتف المحمول، المنطقة الزمنية ومعرف اتحاد SAML.
الحقول الفارغة
ومع ذلك، قال برادبري إن غالبية الحقول كانت فارغة وأن التقرير لم يتضمن أوراق اعتماد أو معلومات حساسة. بالنسبة للغالبية العظمى – أكثر من 99% من العملاء – كانت المعلومات الوحيدة المسروقة فعليًا هي الأسماء وعناوين البريد الإلكتروني.
وقال برادبري: “على الرغم من أنه ليس لدينا معرفة أو دليل مباشر على أن هذه المعلومات يتم استغلالها بشكل نشط، إلا أن هناك احتمال أن يستخدم جهة التهديد هذه المعلومات لاستهداف عملاء Okta عبر هجمات التصيد الاحتيالي أو الهندسة الاجتماعية”. من المحتمل جدًا أن يحدث خطر متزايد.
وقالت Okta إنها كشفت عن المدى الحقيقي للانتهاك بعد أن وجدت مراجعة إضافية للإجراءات التي قام بها ممثل التهديد أن حجم ملف أحد التقارير التي قاموا بتنزيلها كان أكبر بكثير من الملف الذي أنشأته Okta أثناء التحقيق الأولي.
ووجد تحليل أعمق أن المهاجم قام بتشغيل عرض غير مفلتر للتقرير، والذي لم يتم رصده في البداية لأن التقرير الذي أنشأته Okta بدا أصغر بكثير – بمجرد إزالة المرشحات، ثبت أن الملف الذي تم تنزيله أكبر بكثير.
توصيات جديدة
على هذا النحو، وبالنظر إلى أن مستخدمي نظام دعم عملاء Okta يميلون إلى أن يكونوا مستخدمين متميزين في بيئاتهم الخاصة، توصي المنظمة بأن يستخدم جميع العملاء على الفور المصادقة متعددة العوامل (MFA) والتفكير في تقديم أدوات مصادقة مقاومة للتصيد الاحتيالي.
كما قدمت أيضًا ميزة الوصول المبكر التي تتطلب من المسؤولين إعادة المصادقة إذا تم إعادة استخدام جلستهم من عنوان IP برقم نظام مستقل مختلف، وإذا أمكن، يجب على العملاء تمكين هذه الميزة على الفور.
تقدم Okta الآن أيضًا مهلات لوحدة التحكم الإدارية والتي ستحدد الجلسات بـ 12 ساعة، وتنتهي المهلة بعد 15 دقيقة. سيتم طرح هذا اعتبارًا من اليوم (29 نوفمبر 2023) لمؤسسات المعاينة وسيكون متاحًا بشكل عام اعتبارًا من 4 ديسمبر.
أخيرًا، تحذر Okta العملاء من توخي الحذر من محاولات التصيد الاحتيالي التي تستهدف موظفيهم، ولكن على وجه الخصوص أن يكونوا حذرين من أي محاولات تستهدف مكاتب المساعدة الخاصة بتكنولوجيا المعلومات أو مقدمي الخدمات ذات الصلة. يجب على المستخدمين أيضًا مراجعة عمليات التحقق من مكتب المساعدة الخاصة بهم والتأكد من إجراء فحوصات أكثر صرامة قبل السماح بالإجراءات عالية المخاطر – مثل تغيير كلمة المرور على حساب مميز.