Redazione RHC : 5 Novembre 2023 20:22
Il fornitore di gestione dell’identità e dell’autenticazione Okta venerdì ha pubblicato un rapporto su una recente violazione che ha concesso agli hacker l’accesso amministrativo agli account Okta di alcuni dei suoi clienti. Sebbene il rapporto sottolinei le trasgressioni di un dipendente che accede a un account Google personale su un dispositivo di lavoro, il fattore che contribuisce maggiormente è stato qualcosa che l’azienda ha sottovalutato: un account di servizio mal configurato.
In un post David Bradbury, chief security officer di Okta, ha affermato che il modo più probabile in cui l’autore della minaccia dietro l’attacco ha ottenuto l’accesso a parti del sistema di assistenza clienti della sua azienda è stato prima di tutto compromettere il dispositivo personale di un dipendente o l’account Google personale e, da lì, ottenere il nome utente e la password per una forma speciale di account, nota come account di servizio, utilizzata per connettersi al segmento di supporto della rete Okta. Una volta ottenuto l’accesso, l’autore della minaccia poteva ottenere le credenziali amministrative per accedere agli account Okta appartenenti a 1Password, BeyondTrust, Cloudflare e altri clienti Okta.
“Durante la nostra indagine sull’uso sospetto di questo account, Okta Security ha identificato che un dipendente aveva effettuato l’accesso al proprio profilo Google personale sul browser Chrome del proprio laptop gestito da Okta”, ha scritto Bradbury. “Il nome utente e la password dell’account del servizio erano stati salvati nell’account Google personale del dipendente. La strada più probabile per l’esposizione di queste credenziali è la compromissione dell’account Google personale o del dispositivo personale del dipendente.”
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Ciò significa che quando il dipendente accede all’account su Chrome mentre era autenticato con l’account Google personale, le credenziali venivano salvate su quell’account, molto probabilmente tramite il gestore password integrato di Chrome.
Successivamente, dopo aver compromesso l’account o il dispositivo personale, l’autore della minaccia ha ottenuto le credenziali necessarie per accedere all’account Okta.
L’accesso agli account personali presso un’azienda come Okta è vietato da tempo. E se questo divieto non era chiaro ad alcuni prima, dovrebbe esserlo adesso. Quasi sicuramente il dipendente ha violato la politica aziendale e non sorprenderebbe se il reato portasse al licenziamento del dipendente.
Tuttavia, sarebbe sbagliato concludere che la causa della violazione sia stata la condotta scorretta dei dipendenti. Non lo era. La colpa, invece, è degli addetti alla sicurezza che hanno progettato il sistema di supporto violato, in particolare del modo in cui è stato configurato l’account del servizio violato.
Un account di servizio è un tipo di account esistente in una varietà di sistemi operativi e framework. A differenza degli account utente standard, a cui accedono gli esseri umani, gli account di servizio sono per lo più riservati all’automazione delle funzioni da macchina a macchina, come l’esecuzione di backup dei dati o scansioni antivirus ogni notte a una determinata ora.
Per questo motivo, non possono essere bloccati con l’autenticazione a più fattori come invece avviene con gli account utente. Questo spiega perché la MFA non è stata impostata sull’account. La violazione, tuttavia, sottolinea diverse informazioni non note e non pubblicate nell’articolo scorso.
RedazioneNegli ultimi giorni, diversi Centri di Assistenza Fiscale (CAF) italiani — tra cui CAF CIA, CAF UIL e CAF CISL — stanno segnalando un’ondata di messaggi SMS sospetti inviati diret...
Nelle ultime settimane, diversi sviluppatori open source sono stati colpiti da attacchi di phishing, che hanno infettato con malware i pacchetti, alcuni dei quali vengono scaricati 30 milioni di volte...
Un attacco informatico ai danni di ACEA SpA, colosso italiano attivo nella produzione e distribuzione di elettricità, gas e servizi idrici, è stato rivendicato dai criminali informatici di W...
Negli ultimi anni, la cybersecurity ha visto emergere minacce sempre più sofisticate, capaci di compromettere dispositivi e dati personali senza che l’utente compia alcuna azione. Tra ques...
Sygnia segnala che il vettore di attacco iniziale di Fire Ant CVE-2023-34048, sfrutta la vulnerabilità di scrittura fuori dai limiti nell’implementazione del protocollo DCERPC di vCenter S...
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
