- 다중 요소 인증 및 단일 로그인과 같은 신원 도구를 제공하는 Okta 회사가 고객 지원 부서와 관련된 보안 침해 사건을 겪었습니다.
- 이 침해 사건은 "매우 적은 수"의 고객에게 영향을 미쳤지만, 해커들은 침입이 완전히 차단되기 전까지 최소한 2주 동안 Okta의 지원 플랫폼에 접근할 수 있었습니다.
- 해커들은 도난당한 자격증명에 접근하여 Okta의 지원 사례 관리 시스템에 접근하였고, 이를 통해 최근 지원 사례의 일부로 Okta 고객들이 업로드한 파일을 볼 수 있었습니다.
- Okta는 문제 해결을 위해 고객으로부터 HTTP Archive (HAR) 파일을 자주 요청합니다. 이 파일들은 쿠키와 세션 토큰과 같은 민감한 정보를 포함할 수 있으며, 해커들은 이를 이용하여 유효한 사용자를 가장할 수 있습니다.
- Okta는 내장 세션 토큰의 취소를 포함하여 고객을 보호하기 위한 조치를 취하였으며, HAR 파일을 공유하기 전에 모든 자격증명과 쿠키/세션 토큰을 정화하는 것을 권장합니다.
- Okta 고객인 BeyondTrust는 Okta가 공지를 발표하기 두 주 전에 Okta에 잠재적인 문제를 알렸습니다. BeyondTrust는 그들의 엔지니어 중 한 명에게 할당된 Okta 계정을 이용하여 그들의 Okta 환경 내에 관리자 계정을 생성하려는 시도를 탐지하였습니다.
- Okta는 처음에는 BeyondTrust의 경고가 그들의 시스템 내 침해로 인한 것이라고 생각하지 않았지만, 10월 17일까지에는 Okta가 사건을 파악하고 차단하였습니다.
- Okta의 부수석 정보 보안 책임자인 Charlotte Wylie는 잠재적인 보안 문제에 대한 경고를 받은 고객 수를 구체적으로 밝히지 않았지만, 이를 18,000명 이상의 고객 중 "매우, 매우 적은 부분"으로 묘사하였습니다.
- 이번 침해 사건은 최근 카지노 거물 Caesar’s Entertainment과 MGM Resorts의 해킹 사건에 이어 일어났으며, 공격자들은 Okta 관리자 계정의 다중 요소 로그인 요구 사항을 재설정하는 데 성공하였습니다.
- Okta는 이번 침해의 배후에 있는 적이 이전에 Okta와 그 고객을 대상으로 한 알려진 위협 행위자라고 믿고 있습니다.
- Okta는 이 사건에 대한 블로그 글을 게시하였으며, 고객들이 자신들이 영향을 받았는지 확인할 수 있는 "침해의 징후"를 포함하고 있습니다. 회사는 모든 영향을 받은 고객들에게 알림을 보냈다고 확신합니다.