Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 5 Novembre 2023 20:22
Il fornitore di gestione dell’identità e dell’autenticazione Okta venerdì ha pubblicato un rapporto su una recente violazione che ha concesso agli hacker l’accesso amministrativo agli account Okta di alcuni dei suoi clienti. Sebbene il rapporto sottolinei le trasgressioni di un dipendente che accede a un account Google personale su un dispositivo di lavoro, il fattore che contribuisce maggiormente è stato qualcosa che l’azienda ha sottovalutato: un account di servizio mal configurato.
In un post David Bradbury, chief security officer di Okta, ha affermato che il modo più probabile in cui l’autore della minaccia dietro l’attacco ha ottenuto l’accesso a parti del sistema di assistenza clienti della sua azienda è stato prima di tutto compromettere il dispositivo personale di un dipendente o l’account Google personale e, da lì, ottenere il nome utente e la password per una forma speciale di account, nota come account di servizio, utilizzata per connettersi al segmento di supporto della rete Okta. Una volta ottenuto l’accesso, l’autore della minaccia poteva ottenere le credenziali amministrative per accedere agli account Okta appartenenti a 1Password, BeyondTrust, Cloudflare e altri clienti Okta.
“Durante la nostra indagine sull’uso sospetto di questo account, Okta Security ha identificato che un dipendente aveva effettuato l’accesso al proprio profilo Google personale sul browser Chrome del proprio laptop gestito da Okta”, ha scritto Bradbury. “Il nome utente e la password dell’account del servizio erano stati salvati nell’account Google personale del dipendente. La strada più probabile per l’esposizione di queste credenziali è la compromissione dell’account Google personale o del dispositivo personale del dipendente.”
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Ciò significa che quando il dipendente accede all’account su Chrome mentre era autenticato con l’account Google personale, le credenziali venivano salvate su quell’account, molto probabilmente tramite il gestore password integrato di Chrome.
Successivamente, dopo aver compromesso l’account o il dispositivo personale, l’autore della minaccia ha ottenuto le credenziali necessarie per accedere all’account Okta.
L’accesso agli account personali presso un’azienda come Okta è vietato da tempo. E se questo divieto non era chiaro ad alcuni prima, dovrebbe esserlo adesso. Quasi sicuramente il dipendente ha violato la politica aziendale e non sorprenderebbe se il reato portasse al licenziamento del dipendente.
Tuttavia, sarebbe sbagliato concludere che la causa della violazione sia stata la condotta scorretta dei dipendenti. Non lo era. La colpa, invece, è degli addetti alla sicurezza che hanno progettato il sistema di supporto violato, in particolare del modo in cui è stato configurato l’account del servizio violato.
Un account di servizio è un tipo di account esistente in una varietà di sistemi operativi e framework. A differenza degli account utente standard, a cui accedono gli esseri umani, gli account di servizio sono per lo più riservati all’automazione delle funzioni da macchina a macchina, come l’esecuzione di backup dei dati o scansioni antivirus ogni notte a una determinata ora.
Per questo motivo, non possono essere bloccati con l’autenticazione a più fattori come invece avviene con gli account utente. Questo spiega perché la MFA non è stata impostata sull’account. La violazione, tuttavia, sottolinea diverse informazioni non note e non pubblicate nell’articolo scorso.
RedazioneIl Roskomnadzor della Federazione Russa ha annunciato che continua a imporre restrizioni sistematiche all’app di messaggistica WhatsApp a causa di violazioni della legge russa. Secondo l’agenzia, ...
Siamo nell’era dell’inganno a pagamento. Ogni tuo click è un referendum privato in cui vincono sempre loro, gli algoritmi. E non sbagliano mai: ti osservano, ti profilano, ti conoscono meglio di ...
Questa mattina Paragon Sec è stata contattata da un’azienda italiana vittima di un nuovo tentativo di frode conosciuto come Truffa del CEO. L’ufficio contabilità ha ricevuto un’e-mail urgente,...
i ricercatori di Check Point Software, hanno recentemente pubblicato un’indagine sull’aumento delle truffe farmaceutiche basate sull’intelligenza artificiale. È stato rilevato come i criminali ...
L’Agenzia dell’Unione europea per la sicurezza informatica (ENISA) ha assunto il ruolo di Root all’interno del programma Common Vulnerabilities and Exposures (CVE), diventando il principale punt...
