قالت شركة Cloudflare العملاقة للشبكات والأمن ومطور إدارة كلمات المرور 1Password، إن المتسللين انتهكوا أنظمتهم لفترة وجيزة بعد الاختراق الأخير لقسم الدعم في Okta. وقال كل من Cloudflare و1Password إن انتهاكاتهما الأخيرة كانت مرتبطة بنقاط الضعف في Okta، لكن الحوادث لم تؤثر على أنظمة العملاء أو بيانات المستخدم.
وقال بيدرو كاناهواتي، كبير مسؤولي التكنولوجيا في 1Password، في منشور بالمدونة: "لقد أنهينا على الفور هذا النشاط الشاذ وأجرينا تحقيقًا ولم نعثر على أي تنازل عن بيانات المستخدم أو الأنظمة الحساسة الأخرى، سواء التي تواجه الموظف أو المستخدم". "لقد أكدنا أن هذا كان نتيجة لثغرة أمنية في نظام دعم Okta."
وقالت شركة Okta، التي توفر تقنية تسجيل الدخول الموحد للشركات والمؤسسات، في وقت متأخر من يوم الجمعة، إن المتسللين اقتحموا قسم دعم العملاء وسرقوا الملفات التي تم تحميلها من قبل العملاء لتشخيص المشكلات الفنية. تتضمن هذه الملفات سجلات جلسة المتصفح، والتي قد تحتوي على بيانات اعتماد حساسة للمستخدم مثل ملفات تعريف الارتباط والرموز المميزة للجلسة، والتي، في حالة سرقتها، يمكن أن تسمح للمتسللين بانتحال هوية حسابات المستخدمين.
وقال المتحدث باسم Okta، فيتور ديسوزا، إن حوالي 1٪ من عملاء Okta البالغ عددهم 17000 مؤسسة، أو 170 مؤسسة، تأثروا بالثغرة الأمنية.
وفي تقرير مرفق يوضح تفاصيل الحادث الأمني، قالت 1Password إن المتسللين استخدموا الرموز المميزة للجلسة من ملف قام أعضاء فريق تكنولوجيا المعلومات بتحميله إلى نظام دعم Okta لأغراض استكشاف الأخطاء وإصلاحها في وقت سابق من اليوم. يسمح رمز الجلسة للمتسلل باستخدام حساب عضو تكنولوجيا المعلومات دون الحاجة إلى كلمة مرور أو رمز ثنائي، مما يمنح المتسلل وصولاً محدودًا إلى لوحة Okta الخاصة بـ 1Password.
وذكرت 1Password أن الحادث وقع في 29 سبتمبر، أي قبل أسبوعين من كشف أوكتا عن تفاصيل الحادث.
وأكدت Cloudflare أيضًا في منشور على مدونة يوم الجمعة أن المتسللين استخدموا أيضًا الرموز المميزة للجلسة المسروقة من دعم Okta لمهاجمة أنظمتها. قال جرانت بورزيكاس، كبير مسؤولي أمن المعلومات في Cloudflare، إن حادثة Cloudflare بدأت في 18 أكتوبر و"لم يتمكن ممثلو التهديد من الوصول إلى أي من أنظمتنا أو بياناتنا"، ويرجع ذلك إلى حد كبير إلى أن Cloudflare تستخدم مفاتيح أمان الأجهزة التي يمكنها تجنب هجمات التصيد الاحتيالي.
وقالت شركة الأمن BeyondTrust إنها تأثرت أيضًا باقتحام Okta ولكنها أغلقت الاختراق بسرعة أيضًا. وقالت BeyondTrust في منشور على مدونتها إنها أخطرت Okta بالحادث في 2 أكتوبر، لكنها اتهمت Okta بالفشل في الاعتراف بالانتهاك لمدة ثلاثة أسابيع تقريبًا.
يعد هذا أحدث حادث أمني لشركة Okta بعد سرقة جزء من كود المصدر الخاص بها في ديسمبر 2022، ونشر المتسللون لقطات شاشة لشبكة Okta الداخلية في يناير 2022.
وبعد أن أبلغ المراسل الأمني بريان كريبس لأول مرة عن أخبار الاختراق، انخفض سعر سهم Okta بأكثر من 11٪ يوم الجمعة، مما أدى إلى محو ما لا يقل عن 2 مليار دولار من قيمة الشركة.