Okta数据泄露影响130多名客户

供应商透露，身份和访问管理(IAM)专家Okta的安全漏洞影响了130多个客户，其中少数客户因此遭受了后续会话劫持攻击。

Okta于10月19日向客户通知了这一漏洞，两周前，其中一位客户BeyondTrust向Okta发出了可疑活动的警报。

Okta的首席安全官大卫·布拉德伯里(David Bradbury)在最初讲述这一事件时，只是解释说，这是在一名威胁行为者使用被盗的凭证访问该公司的支持案例管理系统之后发生的。

然而，在上周五的更新中，他分享了更多信息，解释说该黑客在9月28日至10月17日期间访问了系统，总共泄露了134名客户的文件。

Bradbury补充说：“其中一些文件是HAR文件，其中包含会话令牌，可用于会话劫持攻击。威胁行为者能够使用这些会话令牌劫持五个客户的合法Okta会话，其中三个客户分享了他们自己对此事件的响应。”

他继续说，攻击者在入侵了一个相关的服务帐户后，成功地访问了支持系统，使他们能够查看和更新支持案例。

Bradbury解释说：“在我们对这个账户的可疑使用进行调查期间，Okta安全公司发现，一名员工在Okta管理的笔记本电脑的Chrome浏览器上登录了他们的个人谷歌配置文件。服务帐户的用户名和密码已保存到该员工的个人谷歌帐户中。暴露此凭据的最可能途径是泄露员工的个人Google帐户或个人设备。”

CSO还提供了有关Okta为何花了两周时间才发现漏洞的信息。Okta没有在其日志中发现任何可疑的下载，但表示威胁行为者在未经授权使用支持系统时一直很小心。

Bradbury说：“当用户打开并查看附加到支持案例的文件时，将生成与该文件相关的特定日志事件类型和ID。如果用户直接导航到客户支持系统中的文件选项卡，就像攻击者在这次攻击中所做的那样，他们将生成一个具有不同记录ID的完全不同的日志事件。”

BeyondTrust于10月13日向Okta提供了威胁参与者的IP地址，最终发现了与受感染帐户相关的其他文件访问事件。

Okta此后执行了一系列补救任务，包括禁用受感染的服务帐户，防止在Okta管理的笔记本电脑上使用个人谷歌配置文件登录Chrome，以及实施额外的检测和监控规则。

该公司还引入了基于网络位置的会话令牌绑定，以降低会话令牌被盗的风险。受到会话劫持攻击的5家客户中，有3家透露自己是1Password、BeyondTrust和Cloudflare。