Гигант сети и безопасности Cloudflare и разработчик менеджера паролей 1Password заявили, что хакеры ненадолго взломали их системы после недавнего взлома службы поддержки Okta. Cloudflare и 1Password заявили, что их недавние нарушения были связаны с уязвимостями Okta, но инциденты не затронули их клиентские системы или пользовательские данные.
«Мы немедленно прекратили эту аномальную деятельность, провели расследование и не обнаружили никакого компрометации пользовательских данных или других конфиденциальных систем, как сотрудников, так и пользователей», — заявил в своем блоге технический директор 1Password Педро Канауати. «Мы подтвердили, что это произошло из-за уязвимости в системе поддержки Okta».
Okta, которая предоставляет компаниям и организациям технологию единого входа, заявила поздно вечером в пятницу, что хакеры взломали ее отдел поддержки клиентов и украли файлы, загруженные клиентами для диагностики технических проблем. Эти файлы включают журналы сеансов браузера, которые могут содержать конфиденциальные учетные данные пользователя, такие как файлы cookie и токены сеанса, которые в случае кражи могут позволить хакерам выдавать себя за учетные записи пользователей.
Представитель Okta Витор ДеСуза заявил, что около 1% из 17 000 корпоративных клиентов Okta, или 170 организаций, пострадали от этой уязвимости.
В прилагаемом отчете с подробным описанием инцидента безопасности 1Password сообщает, что хакеры использовали токены сеанса из файла, который ранее в тот же день члены ИТ-команды загрузили в систему поддержки Okta для целей устранения неполадок. Токен сеанса позволял хакеру использовать учетную запись ИТ-специалиста, не требуя пароля или двухфакторного кода, предоставляя хакеру ограниченный доступ к панели Okta 1Password.
В 1Password заявили, что инцидент произошел 29 сентября, за две недели до того, как «Окта» раскрыла подробности инцидента.
Cloudflare также подтвердила в своем блоге в пятницу, что хакеры также использовали токены сеансов, украденные у службы поддержки Okta, для атак на ее системы. Грант Бурзикас, директор по информационной безопасности Cloudflare, заявил, что инцидент с Cloudflare начался 18 октября, и «участники угрозы не имели доступа ни к одной из наших систем или данных», во многом потому, что Cloudflare использует аппаратные ключи безопасности, которые могут избежать фишинговых атак.
Охранная фирма BeyondTrust заявила, что она также пострадала от вторжения Okta, но быстро пресекла вторжение. BeyondTrust сообщила в своем блоге, что уведомила Okta об инциденте 2 октября, но обвинила Okta в том, что она не признавала факт нарушения в течение почти трех недель.
Это последний инцидент безопасности Okta после того, как в декабре 2022 года была украдена часть исходного кода, а в январе 2022 года хакеры опубликовали скриншоты внутренней сети Okta.
После того, как репортер по безопасности Брайан Кребс впервые сообщил о взломе, цена акций Okta упала более чем на 11% в пятницу, уничтожив как минимум 2 миллиарда долларов стоимости компании.