- 多要素認証やシングルサインオンなどのIDツールを提供するOktaが、顧客サポート部門に関連するセキュリティ侵害を受けました。
- この侵害は「ごく少数」の顧客に影響したものの、ハッカーは侵入が完全に遮断されるまで少なくとも2週間にわたりOktaのサポートプラットフォームにアクセスできていました。
- ハッカーは盗まれた認証情報を使ってOktaのサポート案件管理システムにアクセスし、その結果、最近のサポート案件の一部としてOktaの顧客がアップロードしたファイルを閲覧できました。
- Oktaは問題解決のために顧客へHTTP Archive(HAR)ファイルの提出を頻繁に求めています。これらのファイルにはCookieやセッショントークンなどの機微情報が含まれる可能性があり、ハッカーはこれを利用して有効なユーザーになりすますことができます。
- Oktaは組み込みセッショントークンの失効を含む、顧客保護のための措置を講じており、HARファイルを共有する前にすべての認証情報とCookie/セッショントークンを除去することを推奨しています。
- Oktaの顧客であるBeyondTrustは、Oktaが告知を出す2週間前に潜在的な問題をOktaへ通知していました。BeyondTrustは、自社のエンジニアの1人に割り当てられたOktaアカウントを使って、自社のOkta環境内に管理者アカウントを作成しようとする試みを検知しました。
- Oktaは当初、BeyondTrustの警告が自社システム内の侵害によるものだとは考えていませんでしたが、10月17日までにはOktaが事案を把握して遮断しました。
- Oktaの副CISOであるCharlotte Wylieは、潜在的なセキュリティ問題に関する警告を受けた顧客数の詳細は明かしませんでしたが、18,000社超の顧客のうち「非常に、非常に少ない一部」だと説明しました。
- 今回の侵害は、直近のCaesar’s EntertainmentとMGM Resortsに対するハッキング事件に続いて発生したもので、攻撃者はOkta管理者アカウントの多要素ログイン要件をリセットすることに成功していました。
- Oktaは、今回の侵害の背後にいる敵対者が、以前からOktaとその顧客を標的にしてきた既知の脅威アクターだとみています。
- Oktaはこの事件に関するブログ記事を公開しており、顧客が自分たちが影響を受けたかどうかを確認できる「侵害の兆候」が含まれています。会社は、影響を受けたすべての顧客に通知を送ったと確信しています。
1件のコメント
Hacker News のコメント