Redazione RHC : 5 Novembre 2023 20:22
Il fornitore di gestione dell’identità e dell’autenticazione Okta venerdì ha pubblicato un rapporto su una recente violazione che ha concesso agli hacker l’accesso amministrativo agli account Okta di alcuni dei suoi clienti. Sebbene il rapporto sottolinei le trasgressioni di un dipendente che accede a un account Google personale su un dispositivo di lavoro, il fattore che contribuisce maggiormente è stato qualcosa che l’azienda ha sottovalutato: un account di servizio mal configurato.
In un post David Bradbury, chief security officer di Okta, ha affermato che il modo più probabile in cui l’autore della minaccia dietro l’attacco ha ottenuto l’accesso a parti del sistema di assistenza clienti della sua azienda è stato prima di tutto compromettere il dispositivo personale di un dipendente o l’account Google personale e, da lì, ottenere il nome utente e la password per una forma speciale di account, nota come account di servizio, utilizzata per connettersi al segmento di supporto della rete Okta. Una volta ottenuto l’accesso, l’autore della minaccia poteva ottenere le credenziali amministrative per accedere agli account Okta appartenenti a 1Password, BeyondTrust, Cloudflare e altri clienti Okta.
“Durante la nostra indagine sull’uso sospetto di questo account, Okta Security ha identificato che un dipendente aveva effettuato l’accesso al proprio profilo Google personale sul browser Chrome del proprio laptop gestito da Okta”, ha scritto Bradbury. “Il nome utente e la password dell’account del servizio erano stati salvati nell’account Google personale del dipendente. La strada più probabile per l’esposizione di queste credenziali è la compromissione dell’account Google personale o del dispositivo personale del dipendente.”
 Sponsorizza la prossima Red Hot Cyber Conference!Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Ciò significa che quando il dipendente accede all’account su Chrome mentre era autenticato con l’account Google personale, le credenziali venivano salvate su quell’account, molto probabilmente tramite il gestore password integrato di Chrome.
Successivamente, dopo aver compromesso l’account o il dispositivo personale, l’autore della minaccia ha ottenuto le credenziali necessarie per accedere all’account Okta.
L’accesso agli account personali presso un’azienda come Okta è vietato da tempo. E se questo divieto non era chiaro ad alcuni prima, dovrebbe esserlo adesso. Quasi sicuramente il dipendente ha violato la politica aziendale e non sorprenderebbe se il reato portasse al licenziamento del dipendente.
Tuttavia, sarebbe sbagliato concludere che la causa della violazione sia stata la condotta scorretta dei dipendenti. Non lo era. La colpa, invece, è degli addetti alla sicurezza che hanno progettato il sistema di supporto violato, in particolare del modo in cui è stato configurato l’account del servizio violato.
Un account di servizio è un tipo di account esistente in una varietà di sistemi operativi e framework. A differenza degli account utente standard, a cui accedono gli esseri umani, gli account di servizio sono per lo più riservati all’automazione delle funzioni da macchina a macchina, come l’esecuzione di backup dei dati o scansioni antivirus ogni notte a una determinata ora.
Per questo motivo, non possono essere bloccati con l’autenticazione a più fattori come invece avviene con gli account utente. Questo spiega perché la MFA non è stata impostata sull’account. La violazione, tuttavia, sottolinea diverse informazioni non note e non pubblicate nell’articolo scorso.
RedazioneNella giornata di oggi, migliaia di utenti Fastweb in tutta Italia hanno segnalato problemi di connessione alla rete fissa, con interruzioni improvvise del servizio Internet e difficoltà a navigare o...
Mattinata difficile per i clienti Fastweb: dalle 9:30 circa, il numero di segnalazioni di malfunzionamento è schizzato alle stelle. Secondo i dati di Downdetector, le interruzioni hanno superato le 3...
Dopo il successo dello scorso anno, Scientifica lancia la nuova edizione di GlitchZone, la competition dedicata alle start-up che sviluppano soluzioni innovative per la cybersecurity. L’iniziativa �...
Il ricercatore di sicurezza Alessandro Sgreccia, membro del team HackerHood di Red Hot Cyber, ha segnalato a Zyxel due nuove vulnerabilità che interessano diversi dispositivi della famiglia ZLD (ATP ...
La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing & Analysis Center (MS-ISAC) pubblicano questo avviso congiunto sulla sicurezza informatica (CSA) in ...
