हैकर्स ने Okta की support unit से access tokens चुरा लिए

 (krebsonsecurity.com)
1 पॉइंट द्वारा GN⁺ 2023-10-22 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • मल्टी-फैक्टर ऑथेंटिकेशन और single sign-on जैसे पहचान टूल उपलब्ध कराने वाली कंपनी Okta को अपने customer support विभाग से जुड़ी एक security breach घटना का सामना करना पड़ा.
  • इस breach का असर ग्राहकों की "बहुत कम संख्या" पर पड़ा, लेकिन पूरी तरह रोक लगाए जाने से पहले तक हैकर्स कम से कम 2 हफ्तों तक Okta के support platform तक पहुंच सकते थे.
  • हैकर्स ने चोरी किए गए credentials का उपयोग कर Okta के support case management system तक पहुंच हासिल की, जिससे वे हालिया support cases के हिस्से के रूप में Okta ग्राहकों द्वारा अपलोड की गई फाइलें देख सके.
  • समस्या निवारण के लिए Okta अक्सर ग्राहकों से HTTP Archive (HAR) files मांगता है. इन files में cookies और session tokens जैसी संवेदनशील जानकारी हो सकती है, जिनका उपयोग हैकर्स वैध users का प्रतिरूपण करने के लिए कर सकते हैं.
  • Okta ने embedded session tokens को revoke करने सहित ग्राहकों की सुरक्षा के लिए कदम उठाए हैं, और HAR files साझा करने से पहले सभी credentials और cookies/session tokens को sanitize करने की सलाह दी है.
  • Okta के ग्राहक BeyondTrust ने Okta द्वारा सार्वजनिक सूचना जारी करने से 2 हफ्ते पहले ही उसे संभावित समस्या के बारे में आगाह किया था. BeyondTrust ने उनके एक engineer को सौंपे गए Okta account का उपयोग करके उसके Okta environment के भीतर admin account बनाने की कोशिश का पता लगाया था.
  • शुरुआत में Okta को नहीं लगा कि BeyondTrust की चेतावनी उसके सिस्टम के भीतर breach के कारण थी, लेकिन 17 अक्टूबर तक Okta ने घटना की पहचान कर उसे रोक दिया.
  • Okta की deputy chief information security officer Charlotte Wylie ने यह नहीं बताया कि संभावित security issue के बारे में कितने ग्राहकों को चेतावनी दी गई, लेकिन उन्होंने इसे 18,000 से अधिक ग्राहकों में से "बहुत, बहुत छोटा हिस्सा" बताया.
  • यह breach हाल में Caesar’s Entertainment और MGM Resorts पर हुए hacks के बाद सामने आया, जहां attackers Okta admin accounts के लिए मल्टी-फैक्टर login requirements को reset करने में सफल रहे थे.
  • Okta का मानना है कि इस breach के पीछे वही adversary है जो पहले भी Okta और उसके ग्राहकों को निशाना बना चुका एक ज्ञात threat actor है.
  • Okta ने इस घटना पर एक blog post प्रकाशित की है, जिसमें "indicators of compromise" शामिल हैं ताकि ग्राहक जांच सकें कि वे प्रभावित हुए हैं या नहीं. कंपनी का कहना है कि उसने सभी प्रभावित ग्राहकों को सूचित कर दिया है.

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2023-10-22
Hacker News की राय
  • साइबरसिक्योरिटी कंपनी Okta को BeyondTrust से संदिग्ध गतिविधि के बारे में सूचना मिली, लेकिन शुरुआत में उसे घुसपैठ के कोई संकेत नहीं मिले।
  • Okta ने BeyondTrust के लगातार जोर देने के बाद ही घुसपैठ की पुष्टि की और उसे रोका।
  • इस घटना पर Okta की ब्लॉग पोस्ट में किसी third party की सूचना का उल्लेख नहीं था, जिससे transparency को लेकर चिंताएँ उठीं।
  • Okta की Deputy Chief Information Security Officer Charlotte Wylie ने पुष्टि की कि कंपनी ने शुरुआत में BeyondTrust की चेतावनी को नजरअंदाज किया था, लेकिन बाद में घुसपैठ की पुष्टि की।
  • घुसपैठ को स्वीकार करने और उस पर प्रतिक्रिया देने में हुई देरी की आलोचना की गई, खासकर इसलिए क्योंकि Okta की भूमिका साइबरसिक्योरिटी और authentication विशेषज्ञ के रूप में है।
  • कुछ टिप्पणियों में सुझाव दिया गया कि SSO, OAuth, SAML, और 2FA जैसे महत्वपूर्ण gatekeeper को Okta जैसे SaaS solutions पर निर्भर रहने के बजाय on-premises चलाया जाना चाहिए।
  • identity providers, password managers, और VPN कंपनियों से आम तौर पर यह उम्मीद की जाती है कि उनकी सुरक्षा भूमिका के कारण वे कभी hack न हों।
  • कुछ उपयोगकर्ताओं ने Okta के support staff को outsource करने के फैसले पर चिंता जताई और उससे जुड़े संभावित सुरक्षा जोखिमों का उल्लेख किया।
  • Okta द्वारा competitor Auth0 के अधिग्रहण पर राय बंटी हुई है, और कुछ उपयोगकर्ताओं ने identity/authentication vendors के centralization को लेकर चिंता जताई।
  • कुछ उपयोगकर्ता भरोसेमंद centralized identity/authentication provider के लिए सिफारिशें तलाश रहे हैं।