Нет, Окта, вас взломали высшие руководители, а не заблудший сотрудник.

Поставщик услуг управления идентификацией и аутентификацией Okta в пятницу опубликовал отчет о вскрытии недавнего взлома, который предоставил хакерам административный доступ к учетным записям Okta некоторых своих клиентов. Хотя вскрытие подчеркивает нарушения, совершенные сотрудником при входе в личную учетную запись Google на рабочем устройстве, самым большим фактором, способствовавшим этому, было то, что компания преуменьшала: плохо настроенная учетная запись службы.

В почтаДиректор службы безопасности Okta Дэвид Брэдбери заявил, что наиболее вероятный способ, которым злоумышленник, стоящий за атакой, получил доступ к частям системы поддержки клиентов его компании, заключался в том, чтобы сначала скомпрометировать личное устройство сотрудника или личную учетную запись Google и оттуда получить имя пользователя и пароль для учетной записи особой формы, известной как сервисная учетная запись, используемой для подключения к сегменту поддержки сети Okta. Получив доступ, злоумышленник мог получить административные учетные данные для входа в учетные записи Okta, принадлежащие 1Password, BeyondTrust, Cloudflare и другим клиентам Okta.

Перекладывание ответственности

«В ходе расследования подозрительного использования этой учетной записи компания Okta Security установила, что сотрудник вошел в свой личный профиль Google в браузере Chrome на своем ноутбуке, управляемом Okta», — написал Брэдбери. «Имя пользователя и пароль сервисной учетной записи были сохранены в личном аккаунте Google сотрудника. Наиболее вероятным способом раскрытия этих учетных данных является компрометация личной учетной записи Google или личного устройства сотрудника».

Это означает, что когда сотрудник вошел в учетную запись Chrome, когда он был аутентифицирован в личной учетной записи Google, учетные данные были сохранены в этой учетной записи, скорее всего, через встроенный менеджер паролей Chrome. Затем, скомпрометировав личную учетную запись или устройство, злоумышленник получил учетные данные, необходимые для доступа к учетной записи Okta.

Давно известно, что доступ к личным аккаунтам в такой компании, как Okta, запрещен. И если этот запрет не был понятен кому-то раньше, то теперь он должен быть понятен. Сотрудник почти наверняка нарушил политику компании, и неудивительно, если нарушение приведет к увольнению сотрудника.

Однако было бы неправильно полагать, что причиной нарушения стали неправомерные действия сотрудников. Это не так. Вместо этого вина лежит на специалистах по безопасности, которые разработали взломанную систему поддержки, в частности способ настройки взломанной учетной записи службы.

Учетная запись службы — это тип учетной записи, существующий в различных операционных системах и платформах. В отличие от стандартных учетных записей пользователей, к которым имеют доступ люди, учетные записи служб в основном зарезервированы для автоматизации межмашинных функций, таких как выполнение резервного копирования данных или антивирусное сканирование каждую ночь в определенное время. По этой причине их нельзя заблокировать с помощью многофакторной аутентификации, как это можно сделать с учетными записями пользователей. Это объясняет, почему на аккаунте не был настроен MFA. Однако нарушение подчеркивает несколько ошибок, которые не получили того внимания, которого они заслуживают, в пятничном сообщении.