اختراق نظام دعم Okta يعرض بيانات العملاء لجهات مجهولة
كشف مزود خدمات الهوية Okta يوم الجمعة عن حادث أمني جديد سمح لجهات تهديد مجهولة الهوية بالاستفادة من بيانات الاعتماد المسروقة للوصول إلى نظام إدارة حالات الدعم الخاص به.
متابعه_مكسي نيوز
Okta….كشف مزود خدمات الهوية Okta يوم الجمعة عن حادث أمني جديد سمح لجهات تهديد مجهولة الهوية بالاستفادة من بيانات الاعتماد المسروقة للوصول إلى نظام إدارة حالات الدعم الخاص به.
وقال ديفيد برادبري، كبير ضباط الأمن في شركة Okta: “تمكن ممثل التهديد من عرض الملفات التي تم تحميلها من قبل بعض عملاء Okta كجزء من حالات الدعم الأخيرة”. قال. “تجدر الإشارة إلى أن نظام إدارة حالات دعم Okta منفصل عن خدمة Okta للإنتاج، والتي تعمل بكامل طاقتها ولم تتأثر.”
وأكدت الشركة أيضًا أن نظام إدارة الحالات Auth0/CIC الخاص بها لم يتأثر بالانتهاك، مشيرة إلى أنها أبلغت العملاء الذين تأثروا مباشرة.
ومع ذلك، قال إن نظام دعم العملاء يستخدم أيضًا للتحميل ملفات أرشيف HTTP (HAR). لتكرار أخطاء المستخدم النهائي أو المسؤول لأغراض استكشاف الأخطاء وإصلاحها.
وحذر أوكتا من أن “ملفات HAR يمكن أن تحتوي أيضًا على بيانات حساسة، بما في ذلك ملفات تعريف الارتباط والرموز المميزة للجلسة، والتي يمكن للجهات الفاعلة الضارة استخدامها لانتحال هوية مستخدمين صالحين”.
وقالت أيضًا إنها عملت مع العملاء المتأثرين لضمان إلغاء رموز الجلسة المضمنة لمنع إساءة استخدامها.
ولم تكشف شركة Okta عن حجم الهجوم ومتى وقع الحادث ومتى اكتشفت الوصول غير المصرح به. اعتبارا من مارس 2023ولديها أكثر من 17000 عميل وتدير حوالي 50 مليار مستخدم.
ومع ذلك، فإن BeyondTrust وCloudflare هما من بين العميلين اللذين أكدا استهدافهما في الهجوم الأخير على نظام الدعم.
“تمكن ممثل التهديد من اختطاف رمز مميز للجلسة من تذكرة دعم تم إنشاؤها بواسطة أحد موظفي Cloudflare،” Cloudflare قال. “باستخدام الرمز المميز المستخرج من Okta، تمكن ممثل التهديد من الوصول إلى أنظمة Cloudflare في 18 أكتوبر.”
ووصفته شركة البنية التحتية والأمن للويب بأنه هجوم متطور، وقالت إن جهة التهديد التي تقف وراء النشاط أضرت بحسابين منفصلين لموظفي Cloudflare داخل منصة Okta. وقالت أيضًا أنه لم يتم الوصول إلى معلومات أو أنظمة العملاء نتيجة لهذا الحدث.
قالت BeyondTrust إنها أخطرت Okta بالانتهاك في 2 أكتوبر 2023، لكن الهجوم على Cloudflare يشير إلى أن الخصم كان لديه إمكانية الوصول إلى أنظمة الدعم الخاصة به على الأقل حتى 18 أكتوبر 2023.
شركة خدمات إدارة الهوية قال قام مسؤول Okta بتحميل ملف HAR إلى النظام في 2 أكتوبر لحل مشكلة الدعم، واكتشف نشاطًا مشبوهًا يتضمن ملف تعريف ارتباط الجلسة خلال 30 دقيقة من مشاركة الملف. لم تنجح محاولات الهجوم على BeyondTrust في النهاية.
وقال متحدث باسم الشركة لصحيفة The Hacker News: “اكتشفت BeyondTrust الهجوم على الفور وعالجته من خلال أدوات الهوية الخاصة بها، Identity Security Insights، مما أدى إلى عدم التأثير أو التعرض للبنية التحتية لـ BeyondTrust أو لعملائها”.
يعد هذا التطوير هو الأحدث في قائمة طويلة من الحوادث الأمنية التي استهدفت شركة Okta خلال السنوات القليلة الماضية. أصبحت الشركة هدفًا عالي القيمة لأطقم القرصنة نظرًا لاستخدام خدمات تسجيل الدخول الموحد (SSO) الخاصة بها من قبل بعض من أكبر الشركات في العالم.
تحديث:
وفي بيان تمت مشاركته مع The Hacker News، قال متحدث باسم Okta إن “الاختراق أثر فقط على حوالي 1% من عملائنا البالغ عددهم 18400”.
متابعه_مكسي نيوز
Okta….كشف مزود خدمات الهوية Okta يوم الجمعة عن حادث أمني جديد سمح لجهات تهديد مجهولة الهوية بالاستفادة من بيانات الاعتماد المسروقة للوصول إلى نظام إدارة حالات الدعم الخاص به.
وقال ديفيد برادبري، كبير ضباط الأمن في شركة Okta: “تمكن ممثل التهديد من عرض الملفات التي تم تحميلها من قبل بعض عملاء Okta كجزء من حالات الدعم الأخيرة”. قال. “تجدر الإشارة إلى أن نظام إدارة حالات دعم Okta منفصل عن خدمة Okta للإنتاج، والتي تعمل بكامل طاقتها ولم تتأثر.”
وأكدت الشركة أيضًا أن نظام إدارة الحالات Auth0/CIC الخاص بها لم يتأثر بالانتهاك، مشيرة إلى أنها أبلغت العملاء الذين تأثروا مباشرة.
ومع ذلك، قال إن نظام دعم العملاء يستخدم أيضًا للتحميل ملفات أرشيف HTTP (HAR). لتكرار أخطاء المستخدم النهائي أو المسؤول لأغراض استكشاف الأخطاء وإصلاحها.
وحذر أوكتا من أن “ملفات HAR يمكن أن تحتوي أيضًا على بيانات حساسة، بما في ذلك ملفات تعريف الارتباط والرموز المميزة للجلسة، والتي يمكن للجهات الفاعلة الضارة استخدامها لانتحال هوية مستخدمين صالحين”.
وقالت أيضًا إنها عملت مع العملاء المتأثرين لضمان إلغاء رموز الجلسة المضمنة لمنع إساءة استخدامها.
ولم تكشف شركة Okta عن حجم الهجوم ومتى وقع الحادث ومتى اكتشفت الوصول غير المصرح به. اعتبارا من مارس 2023ولديها أكثر من 17000 عميل وتدير حوالي 50 مليار مستخدم.
ومع ذلك، فإن BeyondTrust وCloudflare هما من بين العميلين اللذين أكدا استهدافهما في الهجوم الأخير على نظام الدعم.
“تمكن ممثل التهديد من اختطاف رمز مميز للجلسة من تذكرة دعم تم إنشاؤها بواسطة أحد موظفي Cloudflare،” Cloudflare قال. “باستخدام الرمز المميز المستخرج من Okta، تمكن ممثل التهديد من الوصول إلى أنظمة Cloudflare في 18 أكتوبر.”
ووصفته شركة البنية التحتية والأمن للويب بأنه هجوم متطور، وقالت إن جهة التهديد التي تقف وراء النشاط أضرت بحسابين منفصلين لموظفي Cloudflare داخل منصة Okta. وقالت أيضًا أنه لم يتم الوصول إلى معلومات أو أنظمة العملاء نتيجة لهذا الحدث.
قالت BeyondTrust إنها أخطرت Okta بالانتهاك في 2 أكتوبر 2023، لكن الهجوم على Cloudflare يشير إلى أن الخصم كان لديه إمكانية الوصول إلى أنظمة الدعم الخاصة به على الأقل حتى 18 أكتوبر 2023.
شركة خدمات إدارة الهوية قال قام مسؤول Okta بتحميل ملف HAR إلى النظام في 2 أكتوبر لحل مشكلة الدعم، واكتشف نشاطًا مشبوهًا يتضمن ملف تعريف ارتباط الجلسة خلال 30 دقيقة من مشاركة الملف. لم تنجح محاولات الهجوم على BeyondTrust في النهاية.
وقال متحدث باسم الشركة لصحيفة The Hacker News: “اكتشفت BeyondTrust الهجوم على الفور وعالجته من خلال أدوات الهوية الخاصة بها، Identity Security Insights، مما أدى إلى عدم التأثير أو التعرض للبنية التحتية لـ BeyondTrust أو لعملائها”.
يعد هذا التطوير هو الأحدث في قائمة طويلة من الحوادث الأمنية التي استهدفت شركة Okta خلال السنوات القليلة الماضية. أصبحت الشركة هدفًا عالي القيمة لأطقم القرصنة نظرًا لاستخدام خدمات تسجيل الدخول الموحد (SSO) الخاصة بها من قبل بعض من أكبر الشركات في العالم.
تحديث:
وفي بيان تمت مشاركته مع The Hacker News، قال متحدث باسم Okta إن “الاختراق أثر فقط على حوالي 1% من عملائنا البالغ عددهم 18400”.
