أحدث تداعيات اختراق Okta تصل إلى Cloudflare، 1Password
قالت شركة Cloudflare العملاقة للشبكات والأمن وصانع مدير كلمات المرور 1Password، إن المتسللين استهدفوا أنظمتهم لفترة وجيزة بعد الاختراق الأخير لوحدة دعم Okta.
قال كل من Cloudflare و1Password إن عمليات الاقتحام الأخيرة كانت مرتبطة باختراق Okta، لكن الحوادث لم تؤثر على أنظمة العملاء أو بيانات المستخدم.
وقال بيدرو كاناهواتي، كبير مسؤولي التكنولوجيا في 1Password، في منشور بالمدونة: “لقد أنهينا النشاط على الفور، وقمنا بالتحقيق فيه، ولم نعثر على أي تسوية لبيانات المستخدم أو الأنظمة الحساسة الأخرى، سواء كانت موجهة إلى الموظف أو إلى المستخدم”. قال كاناهواتي: “لقد أكدنا أن هذا كان نتيجة لخرق نظام الدعم الخاص بشركة Okta”.
وقالت شركة Okta، التي توفر تقنية تسجيل الدخول الموحد للشركات والمؤسسات، في وقت متأخر من يوم الجمعة، إن المتسللين اقتحموا وحدة دعم العملاء وسرقوا الملفات التي تم تحميلها من قبل عملائها لتشخيص المشكلات الفنية. تتضمن هذه الملفات جلسات تسجيل المتصفح التي يمكن أن تحتوي على بيانات اعتماد حساسة للمستخدم، مثل ملفات تعريف الارتباط والرموز المميزة للجلسة، والتي في حالة سرقتها يمكن أن تسمح للمتسللين بانتحال هوية حسابات المستخدمين.
صرح المتحدث باسم Okta، فيتور دي سوزا، لـ TechCrunch أن حوالي 1٪ من عملاء الشركات البالغ عددهم 17000 – أو 170 مؤسسة – تأثروا بالانتهاك.
وفي تقرير مرفق يوضح تفاصيل الحادث الأمني، قالت 1Password إن المتسللين استخدموا رمزًا مميزًا للجلسة من ملف تم تحميله بواسطة أحد أعضاء فريق تكنولوجيا المعلومات في وقت سابق من اليوم إلى نظام وحدة الدعم في Okta لاستكشاف الأخطاء وإصلاحها. يسمح رمز الجلسة للمتسللين باستخدام حساب عضو تكنولوجيا المعلومات دون الحاجة إلى كلمة المرور الخاصة بهم أو الرمز الثنائي، مما يمنح المتسلل وصولاً محدودًا إلى لوحة معلومات Okta الخاصة بـ 1Password.
وقالت 1Password إن الحادث وقع في 29 سبتمبر، أي قبل أسبوعين من إعلان أوكتا تفاصيل الحادث.
وأكدت Cloudflare أيضًا في منشور على مدونة يوم الجمعة أن المتسللين استهدفوا أنظمتها بالمثل باستخدام رمز جلسة مسروق من وحدة دعم Okta. قال جرانت بورزيكاس، كبير مسؤولي أمن المعلومات في Cloudflare، إن حادث Cloudflare، الذي بدأ في 18 أكتوبر، أدى إلى “عدم وصول جهة التهديد إلى أي من أنظمتنا أو بياناتنا”، ويرجع ذلك إلى حد كبير إلى أن Cloudflare تستخدم مفاتيح أمان الأجهزة التي تتجنب هجمات التصيد الاحتيالي.
وقالت شركة الأمن BeyondTrust إنها تأثرت أيضًا باختراق Okta، لكنها سرعان ما أغلقت الاختراق. وفي منشور على مدونة، قالت BeyondTrust إنها أخطرت Okta بالحادث في 2 أكتوبر، لكنها اتهمت Okta بعدم الاعتراف بالانتهاك لمدة ثلاثة أسابيع تقريبًا.
وهذا هو أحدث حادث أمني لشركة Okta، بعد سرقة بعض التعليمات البرمجية المصدر الخاصة بها في ديسمبر 2022، وحادث وقع في وقت سابق من يناير 2022 حيث نشر المتسللون لقطات شاشة لشبكة Okta الداخلية.
انخفض سعر سهم Okta بأكثر من 11% يوم الجمعة – مما أدى إلى محو ما لا يقل عن 2 مليار دولار من قيمة الشركة – بعد أنباء الاختراق، الذي أبلغ عنه الصحفي الأمني بريان كريبس لأول مرة.
