บริษัท Okta ผู้ให้บริการด้านการจัดการตรวจสอบ และการรับรองตัวตนเปิดเผยเหตุการณ์การบุกรุกระบบ support case management system ซึ่งส่งผลกระทบต่อลูกค้าจำนวน 134 รายจากจำนวนลูกค้าทั้งหมด 18,400 ราย
โดยบริษัทระบุเพิ่มเติมว่าผู้โจมตีได้เข้าถึงระบบของบริษัทตั้งแต่วันที่ 28 กันยายน ถึง 17 ตุลาคม 2023 และเข้าถึงไฟล์ HAR ที่มี session tokens ซึ่งสามารถนำมาใช้ในการโจมตีแบบ session hijacking attacks ได้
David Bradbury ผู้จัดการด้านความปลอดภัยของ Okta ระบุว่า"ผู้โจมตีสามารถใช้ session tokens เหล่านี้ในการเข้าใช้งานที่ถูกอนุญาตโดย Okta ของลูกค้า 5 รายโดยจะมี 3 รายที่ได้รับผลกระทบโดยตรงดังนี้ 1Password, BeyondTrust และ Cloudflare โดย 1Password เป็นบริษัทแรกที่รายงานพฤติกรรมที่ต้องสงสัยในวันที่ 29 กันยายน ส่วนอีกสองรายถูกระบุในวันที่ 12 ตุลาคม และ 18 ตุลาคม"
Okta เปิดเผยเหตุการณ์ด้านความปลอดภัยอย่างเป็นทางการเมื่อวันที่ 20 ตุลาคม โดยระบุว่าผู้โจมตีใช้ประโยชน์จากการเข้าถึงข้อมูลประจำตัวที่ถูกขโมยเพื่อเข้าถึงระบบ support case management system ของ Okta
การสืบสวนเพิ่มเติมพบว่าชื่อผู้ใช้งาน และรหัสผ่านของ service account ถูกบันทึกไว้ในบัญชี Google ส่วนตัวของพนักงาน และบุคคลดังกล่าวได้ลงชื่อเข้าใช้บัญชีส่วนตัวของตนบนเว็บเบราว์เซอร์ Chrome ของแล็ปท็อปของ Okta จากนั้น Okta จึงได้ยกเลิก session tokens ที่ฝังอยู่ในไฟล์ HAR และปิดใช้งานบัญชี service account ที่ถูกบุกรุก
นอกจากนี้ยังบล็อกการใช้โปรไฟล์ Google ส่วนตัวภายใน Google Chrome เวอร์ชันองค์กร ป้องกันไม่ให้พนักงานลงชื่อเข้าใช้บัญชีส่วนตัวในแล็ปท็อปของ Okta
"ปัจจุบันผู้ดูแลระบบ Okta ถูกบังคับให้ตรวจสอบสิทธิ์อีกครั้งหากถูกตรวจพบการเปลี่ยนแปลง network location ลูกค้าสามารถเปิดใช้งานคุณลักษณะนี้ได้ในส่วนของ Okta admin portal"
การพัฒนาดังกล่าวเกิดขึ้นไม่กี่วันหลังจากที่ Okta เปิดเผยว่าข้อมูลส่วนบุคคลของพนักงานปัจจุบัน และอดีตจำนวน 4,961 คนถูกเปิดเผย หลังจากที่ Rightway Healthcare ผู้ให้บริการด้านการดูแลสุขภาพ ถูกละเมิดข้อมูลเมื่อวันที่ 23 กันยายน 2023 ซึ่งข้อมูลที่ถูกบุกรุกรวมถึงชื่อ หมายเลขประกันสังคม และประกันสุขภาพ
ที่มา : thehackernews.com
You must be logged in to post a comment.