L’incredibile Storia dietro la Violazione di Okta. Dipendente negligente o mancata sicurezza?

Redazione RHC : 5 Novembre 2023 20:22

Il fornitore di gestione dell’identità e dell’autenticazione Okta venerdì ha pubblicato un rapporto su una recente violazione che ha concesso agli hacker l’accesso amministrativo agli account Okta di alcuni dei suoi clienti. Sebbene il rapporto sottolinei le trasgressioni di un dipendente che accede a un account Google personale su un dispositivo di lavoro, il fattore che contribuisce maggiormente è stato qualcosa che l’azienda ha sottovalutato: un account di servizio mal configurato.

In un post David Bradbury, chief security officer di Okta, ha affermato che il modo più probabile in cui l’autore della minaccia dietro l’attacco ha ottenuto l’accesso a parti del sistema di assistenza clienti della sua azienda è stato prima di tutto compromettere il dispositivo personale di un dipendente o l’account Google personale e, da lì, ottenere il nome utente e la password per una forma speciale di account, nota come account di servizio, utilizzata per connettersi al segmento di supporto della rete Okta. Una volta ottenuto l’accesso, l’autore della minaccia poteva ottenere le credenziali amministrative per accedere agli account Okta appartenenti a 1Password, BeyondTrust, Cloudflare e altri clienti Okta.

“Durante la nostra indagine sull’uso sospetto di questo account, Okta Security ha identificato che un dipendente aveva effettuato l’accesso al proprio profilo Google personale sul browser Chrome del proprio laptop gestito da Okta”, ha scritto Bradbury. “Il nome utente e la password dell’account del servizio erano stati salvati nell’account Google personale del dipendente. La strada più probabile per l’esposizione di queste credenziali è la compromissione dell’account Google personale o del dispositivo personale del dipendente.”

Ciò significa che quando il dipendente accede all’account su Chrome mentre era autenticato con l’account Google personale, le credenziali venivano salvate su quell’account, molto probabilmente tramite il gestore password integrato di Chrome. 

Successivamente, dopo aver compromesso l’account o il dispositivo personale, l’autore della minaccia ha ottenuto le credenziali necessarie per accedere all’account Okta.

L’accesso agli account personali presso un’azienda come Okta è vietato da tempo. E se questo divieto non era chiaro ad alcuni prima, dovrebbe esserlo adesso. Quasi sicuramente il dipendente ha violato la politica aziendale e non sorprenderebbe se il reato portasse al licenziamento del dipendente.

Tuttavia, sarebbe sbagliato concludere che la causa della violazione sia stata la condotta scorretta dei dipendenti. Non lo era. La colpa, invece, è degli addetti alla sicurezza che hanno progettato il sistema di supporto violato, in particolare del modo in cui è stato configurato l’account del servizio violato.

Un account di servizio è un tipo di account esistente in una varietà di sistemi operativi e framework. A differenza degli account utente standard, a cui accedono gli esseri umani, gli account di servizio sono per lo più riservati all’automazione delle funzioni da macchina a macchina, come l’esecuzione di backup dei dati o scansioni antivirus ogni notte a una determinata ora. 

Per questo motivo, non possono essere bloccati con l’autenticazione a più fattori come invece avviene con gli account utente. Questo spiega perché la MFA non è stata impostata sull’account. La violazione, tuttavia, sottolinea diverse informazioni non note e non pubblicate nell’articolo scorso.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.