30/11/23
20 октября 2023 года стало известно о крупном проникновении в систему клиентской поддержки компании Okta, специализирующейся на удостоверении личности и аутентификации, напоминает Securitylab.
Злоумышленники имели доступ к системе управления клиентскими обращениями Okta с конца сентября этого года, что позволило им красть токены аутентификации у некоторых клиентов и вносить изменения в их учётные записи, например, добавлять или изменять авторизованных пользователей.
Само проникновение, по официальной информации, было вызвано действиями сотрудника Okta, который сохранил учётные данные для входа в привилегированную учётную запись в своём личном аккаунте Google. Предположительно, эти данные были украдены при компрометации личного устройства сотрудника.
Изначально сообщалось, что хакеры получили доступ только к данным 134 клиентов из 18 тысяч, что составляет менее 1% от всей клиентской базы. Однако 29 ноября представители Okta обновили информацию , заявив, что злоумышленники также похитили имена и адреса электронной почты всех пользователей, зарегистрированных в системе поддержки клиентов, в том числе многих администраторов Okta, ответственных за интеграцию фирменной технологии аутентификации в клиентские среды.
Okta сообщила, что почти для 97 процентов пользователей единственной украденной контактной информацией были полные имя и адрес электронной почты. Однако для оставшихся трёх процентов учётных записей было раскрыто одно или несколько из следующих полей данных (в дополнение к имени и адресу электронной почты): последний вход в систему; имя пользователя; номер телефона; SAML-идентификатор; название компании; должностная роль; тип пользователя; дата последней смены пароля или сброса пароля.
Компания утверждает, что 6% её клиентов (более 1000) до сих пор продолжают использовать учётные записи администраторов без многофакторной аутентификации (MFA), что и стало фатальной ошибкой, также приведшей к компрометации. Okta подчеркивает необходимость использования MFA для надёжной защиты своих учётных записей.
Сторонние эксперты безопасности, прокомментировавшие взлом Okta, также указали на необходимость дополнительных мер контроля доступа, включая ограничения на IP-адреса и регулярное обновление токенов доступа. Кроме того, крайне важно запретить сотрудникам использовать личные аккаунты на рабочих устройствах, чтобы избежать повторения подобных ситуаций.
