Okta access token breach
Okta access token breach
24 oktober
Samenvatting
1Password bevestigde dat er verdachte activiteit heeft plaatsgevonden in hun Okta ID-beheertenant. 1Password bevestigt na onderzoek dat er geen 1Password-gebruikersgegevens zijn benaderd. Hetzelfde geldt voor Cloudfare en Beyondtrust, aangezien beiden verklaarden dat er geen klantgegevens zijn gestolen.
Het kwaadaardige gedrag werd op 29 september gezien en was gericht op de apps van de medewerkers. De toegang werd verkregen door het gebruik van gestolen inloggegevens die door Okta waren vrijgegeven.
Er waren echter gegevens opvraagbaar uit het support case management systeem, de geüploade bestanden waren zichtbaar. Okta heeft klanten geïnformeerd die door de inbreuk zijn getroffen. De gegevens die konden worden opgehaald waren HTTP-archiefbestanden (HAR), deze bevatten gevoelige gegevens zoals: cookie en sessietokens, deze kunnen vervolgens door aanvallers worden gebruikt om zich voor te doen als geldige gebruikers.
Beveiligingsaanbevelingen
Okta raadt aan om alle inloggegevens en cookies/sessietokens in een HAR-bestand op te schonen voordat u deze deelt. In geval van twijfel raden wij aan een reset uit te voeren als een HAR-bestand is gedeeld met Okta-ondersteuning.
Meer informatie vindt u hier.
Okta heeft ook een lijst met IoC’s verstrekt:
IP Addresses
23.105.182.19
104.251.211.122
202.59.10.100
162.210.194.35 (BROWSEC VPN)
198.16.66.124 (BROWSEC VPN)
198.16.66.156 (BROWSEC VPN)
198.16.70.28 (BROWSEC VPN)
198.16.74.203 (BROWSEC VPN)
198.16.74.204 (BROWSEC VPN)
198.16.74.205 (BROWSEC VPN)
198.98.49.203 (BROWSEC VPN)
2.56.164.52 (NEXUS PROXY)
207.244.71.82 (BROWSEC VPN)
207.244.71.84 (BROWSEC VPN)
207.244.89.161 (BROWSEC VPN)
207.244.89.162 (BROWSEC VPN)
23.106.249.52 (BROWSEC VPN)
23.106.56.11 (BROWSEC VPN)
23.106.56.21 (BROWSEC VPN)
23.106.56.36 (BROWSEC VPN)
23.106.56.37 (BROWSEC VPN)
23.106.56.38 (BROWSEC VPN)
23.106.56.54 (BROWSEC VPN)
User-Agents:
While the following user-agents are legitimate, they may be rare in your environment given the release of Chrome 99 in March 2022.
Mozilla/5.0 (Windows NT 10.0) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.7113.93 Safari/537.36 (Legitimate, but older user-agent)
Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.83 Safari/537.36 (Legitimate, but older user-agent)