L’incredibile Storia dietro la Violazione di Okta. Dipendente negligente o mancata sicurezza?

Il fornitore di gestione dell’identità e dell’autenticazione Okta venerdì ha pubblicato un rapporto su una recente violazione che ha concesso agli hacker l’accesso amministrativo agli account Okta di alcuni dei suoi clienti. Sebbene il rapporto sottolinei le trasgressioni di un dipendente che accede a un account Google personale su un dispositivo di lavoro, il fattore che contribuisce maggiormente è stato qualcosa che l’azienda ha sottovalutato: un account di servizio mal configurato.

In un post David Bradbury, chief security officer di Okta, ha affermato che il modo più probabile in cui l’autore della minaccia dietro l’attacco ha ottenuto l’accesso a parti del sistema di assistenza clienti della sua azienda è stato prima di tutto compromettere il dispositivo personale di un dipendente o l’account Google personale e, da lì, ottenere il nome utente e la password per una forma speciale di account, nota come account di servizio, utilizzata per connettersi al segmento di supporto della rete Okta. Una volta ottenuto l’accesso, l’autore della minaccia poteva ottenere le credenziali amministrative per accedere agli account Okta appartenenti a 1Password, BeyondTrust, Cloudflare e altri clienti Okta.

“Durante la nostra indagine sull’uso sospetto di questo account, Okta Security ha identificato che un dipendente aveva effettuato l’accesso al proprio profilo Google personale sul browser Chrome del proprio laptop gestito da Okta”, ha scritto Bradbury. “Il nome utente e la password dell’account del servizio erano stati salvati nell’account Google personale del dipendente. La strada più probabile per l’esposizione di queste credenziali è la compromissione dell’account Google personale o del dispositivo personale del dipendente.”

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Ciò significa che quando il dipendente accede all’account su Chrome mentre era autenticato con l’account Google personale, le credenziali venivano salvate su quell’account, molto probabilmente tramite il gestore password integrato di Chrome. 

Successivamente, dopo aver compromesso l’account o il dispositivo personale, l’autore della minaccia ha ottenuto le credenziali necessarie per accedere all’account Okta.

L’accesso agli account personali presso un’azienda come Okta è vietato da tempo. E se questo divieto non era chiaro ad alcuni prima, dovrebbe esserlo adesso. Quasi sicuramente il dipendente ha violato la politica aziendale e non sorprenderebbe se il reato portasse al licenziamento del dipendente.

Tuttavia, sarebbe sbagliato concludere che la causa della violazione sia stata la condotta scorretta dei dipendenti. Non lo era. La colpa, invece, è degli addetti alla sicurezza che hanno progettato il sistema di supporto violato, in particolare del modo in cui è stato configurato l’account del servizio violato.

Un account di servizio è un tipo di account esistente in una varietà di sistemi operativi e framework. A differenza degli account utente standard, a cui accedono gli esseri umani, gli account di servizio sono per lo più riservati all’automazione delle funzioni da macchina a macchina, come l’esecuzione di backup dei dati o scansioni antivirus ogni notte a una determinata ora. 

Per questo motivo, non possono essere bloccati con l’autenticazione a più fattori come invece avviene con gli account utente. Questo spiega perché la MFA non è stata impostata sull’account. La violazione, tuttavia, sottolinea diverse informazioni non note e non pubblicate nell’articolo scorso.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.