Okta 表示，其支持系统因凭据被盗而遭到破坏-安全客

Okta 表示，攻击者在使用窃取的凭据破坏支持管理系统后，访问了包含客户上传到其支持管理系统的 cookie 和会话令牌的文件。

Okta 首席安全官 David Bradbury表示：“威胁行为者能够查看某些 Okta 客户上传的文件，作为最近支持案例的一部分。”

“应该指出的是，Okta 支持案例管理系统与生产 Okta 服务是分开的，后者已全面运行且未受到影响。”

Okta 的 CSO 补充说，这一事件并未影响 Auth0/CIC 案例管理系统。Okta 通知了其 Okta 环境或支持票证受到该事件影响的所有客户。那些没有收到警报的人不受影响。

会话令牌和 cookie 暴露

虽然该公司尚未提供有关在此次攻击中暴露或访问了哪些客户信息的详细信息，但在此次攻击中遭到破坏的支持案例管理系统还用于存储 HTTP 存档 (HAR) 文件，这些文件用于复制用户或管理员错误，以解决各种问题。用户报告的问题。

它们还包含敏感数据，例如 cookie 和会话令牌，威胁行为者可以利用这些数据来劫持客户帐户。

“HAR 文件代表浏览器活动的记录，并且可能包含敏感数据，包括访问的页面内容、标头、cookie 和其他数据，”Okta在其支持门户网站上解释道。

“虽然这允许 Okta 工作人员复制浏览器活动并解决问题，但恶意行为者可能会使用这些文件来冒充您。”

该公司在事件调查期间与受影响的客户合作，并撤销了共享 HAR 文件中嵌入的会话令牌。现在，它建议所有客户在共享之前清理其 HAR 文件，以确保它们不包含凭据和 cookie/会话令牌。

Okta 还分享了调查期间观察到的妥协指标列表，包括与攻击者相关的 IP 地址和网络浏览器用户代理信息。

当 BleepingComputer 今天早些时候联系时，Okta 发言人没有回答有关违规日期以及有多少客户受到影响的问题。

相反，该发言人表示，支持系统“与生产 Okta 服务是分开的，后者已全面运行且未受到影响。我们已通知受影响的客户，并采取措施保护所有客户。”

BeyondTrust 在尝试违规后发现了违规行为

身份管理 BeyondTrust 表示，它是受影响的客户之一，并提供了有关该事件的更多见解。

BeyondTrust 的安全团队于 10 月 2 日检测到并阻止了使用从 Okta 支持系统窃取的 cookie 登录内部 Okta 管理员帐户的尝试。

虽然 BeyondTrust 联系了 Okta 并向他们提供了取证数据，显示他们的支持组织受到了损害，但 Okta 花了两周多的时间才确认此次泄露。

“我们于 10 月 2 日向 Okta 提出了对违规行为的担忧。由于没有收到 Okta 确认可能存在违规行为，我们坚持在 Okta 内部升级，直到 10 月 19 日 Okta 安全领导层通知我们他们确实遇到了违规行为，我们他们的一位受影响的客户，” BeyondTrust 说。

BeyondTrust 表示，这次攻击受到“自定义策略控制”的阻止，但由于“Okta 安全模型的限制”，恶意行为者能够执行“一些有限的操作”。

尽管如此，该公司表示，攻击者并未访问其任何系统，其客户也没有受到影响。

BeyondTrust 还分享了以下攻击时间表：

2023 年 10 月 2 日– 检测到并修复针对内部 Okta 管理员帐户的以身份为中心的攻击，并向 Okta 发出警报 2023 年 10
月 3 日– 鉴于初步取证表明 Okta 支持组织内部存在妥协，要求 Okta 支持人员将问题升级给 Okta 安全团队
10 月 11 日，2023 年和 2023 年 10 月 13 日– 与 Okta 安全团队举行 Zoom 会议，解释为什么我们认为他们可能受到损害。
2023 年 10 月 19 日– Okta 安全领导层确认他们存在内部漏洞，BeyondTrust 是他们受影响的客户之一。