다중 요소 인증 및 단일 로그인과 같은 신원 도구를 제공하는 Okta 회사가 고객 지원 부서와 관련된 보안 침해 사건을 겪었습니다.
이 침해 사건은 "매우 적은 수"의 고객에게 영향을 미쳤지만, 해커들은 침입이 완전히 차단되기 전까지 최소한 2주 동안 Okta의 지원 플랫폼에 접근할 수 있었습니다.
해커들은 도난당한 자격증명에 접근하여 Okta의 지원 사례 관리 시스템에 접근하였고, 이를 통해 최근 지원 사례의 일부로 Okta 고객들이 업로드한 파일을 볼 수 있었습니다.
Okta는 문제 해결을 위해 고객으로부터 HTTP Archive (HAR) 파일을 자주 요청합니다. 이 파일들은 쿠키와 세션 토큰과 같은 민감한 정보를 포함할 수 있으며, 해커들은 이를 이용하여 유효한 사용자를 가장할 수 있습니다.
Okta는 내장 세션 토큰의 취소를 포함하여 고객을 보호하기 위한 조치를 취하였으며, HAR 파일을 공유하기 전에 모든 자격증명과 쿠키/세션 토큰을 정화하는 것을 권장합니다.
Okta 고객인 BeyondTrust는 Okta가 공지를 발표하기 두 주 전에 Okta에 잠재적인 문제를 알렸습니다. BeyondTrust는 그들의 엔지니어 중 한 명에게 할당된 Okta 계정을 이용하여 그들의 Okta 환경 내에 관리자 계정을 생성하려는 시도를 탐지하였습니다.
Okta는 처음에는 BeyondTrust의 경고가 그들의 시스템 내 침해로 인한 것이라고 생각하지 않았지만, 10월 17일까지에는 Okta가 사건을 파악하고 차단하였습니다.
Okta의 부수석 정보 보안 책임자인 Charlotte Wylie는 잠재적인 보안 문제에 대한 경고를 받은 고객 수를 구체적으로 밝히지 않았지만, 이를 18,000명 이상의 고객 중 "매우, 매우 적은 부분"으로 묘사하였습니다.
이번 침해 사건은 최근 카지노 거물 Caesar’s Entertainment과 MGM Resorts의 해킹 사건에 이어 일어났으며, 공격자들은 Okta 관리자 계정의 다중 요소 로그인 요구 사항을 재설정하는 데 성공하였습니다.
Okta는 이번 침해의 배후에 있는 적이 이전에 Okta와 그 고객을 대상으로 한 알려진 위협 행위자라고 믿고 있습니다.
Okta는 이 사건에 대한 블로그 글을 게시하였으며, 고객들이 자신들이 영향을 받았는지 확인할 수 있는 "침해의 징후"를 포함하고 있습니다. 회사는 모든 영향을 받은 고객들에게 알림을 보냈다고 확신합니다.