ネットワークおよびセキュリティ大手のCloudflareとパスワード管理開発会社1Passwordは、最近のOktaのサポート部門への侵入に続き、ハッカーが同社のシステムに一時的に侵入したと発表した。 Cloudflareと1Passwordは両社とも、最近の侵害はOktaの脆弱性に関連しているが、事件は顧客システムやユーザーデータには影響を与えなかったと述べた。
1Password の最高技術責任者、ペドロ・カナフアティ氏はブログ投稿で、「当社はこの異常な活動を直ちに停止し、調査を実施したところ、従業員側またはユーザー側のいずれにおいても、ユーザーデータやその他の機密システムの侵害は発見されなかった」と述べた。 「これは Okta のサポート システムの脆弱性の結果であることを確認しました。」
企業や組織にシングルサインオン技術を提供するOktaは金曜日遅く、ハッカーが同社のカスタマーサポート部門に侵入し、技術的な問題を診断するために顧客がアップロードしたファイルを盗んだと発表した。これらのファイルにはブラウザのセッション ログが含まれており、Cookie やセッション トークンなどの機密のユーザー資格情報が含まれる可能性があり、これらが盗まれるとハッカーがユーザー アカウントになりすます可能性があります。
Oktaの広報担当者Vitor DeSouza氏は、Oktaの企業顧客1万7000社のうち約1%、つまり170の組織がこの脆弱性の影響を受けたと述べた。
セキュリティインシデントを詳述する添付レポートの中で、1Passwordは、ITチームのメンバーがその日早くにトラブルシューティング目的でOktaのサポートシステムにアップロードしたファイルのセッショントークンをハッカーが使用したと述べた。セッション トークンにより、ハッカーはパスワードや 2 要素コードを必要とせずに IT メンバーのアカウントを使用できるようになり、ハッカーに 1Password の Okta パネルへの制限付きアクセスを与えました。
1Passwordは、事件はOktaが事件の詳細を明らかにする2週間前の9月29日に発生したと述べた。
Cloudflareはまた、金曜日のブログ投稿で、ハッカーがOktaサポートから盗んだセッショントークンを使用して同社のシステムを攻撃したことも認めた。 Cloudflareの最高情報セキュリティ責任者であるGrant Bourzikas氏は、Cloudflareの事件は10月18日に始まり、「攻撃者は当社のシステムやデータにアクセスできなかった」のが主な理由で、Cloudflareがフィッシング攻撃を回避できるハードウェアセキュリティキーを使用しているためだと述べた。
セキュリティ会社BeyondTrustも、Okta侵入の影響を受けたが、すぐに侵入を遮断したと述べた。 BeyondTrustはブログ投稿で、10月2日にこの事件をOktaに通知したが、3週間近くも侵害を認めなかったとしてOktaを非難した。
これは、2022 年 12 月にソース コードの一部が盗まれ、2022 年 1 月にハッカーが Okta の内部ネットワークのスクリーンショットを公開した後の Okta の最新のセキュリティ インシデントです。
セキュリティ担当記者のブライアン・クレブス氏がこの情報漏えいのニュースを最初に報じた後、金曜にはOktaの株価が11%以上下落し、少なくとも20億ドルの企業価値が消え去った。