背景／Photo by Jr Korpa on Unsplash

身分及存取管理服務業者Okta在10月公開確認自家服務遭駭的消息，現在已完成入侵事件調查。Okta確認攻擊者存取了Okta客戶支援系統內134位客戶相關檔案，其中一些檔案包含對話令牌（Session Token）的HAR（HTTP Archive）檔案，因此被攻擊者用於劫持並控制了5個客戶的Okta對話。

Okta在事件發生時，將調查的焦點放在存取支援案例上，並且評估了與這些案例相關的日誌，而後由於Okta的合作夥伴，同為身分管理服務業者的BeyondTrust，提供了一個與攻擊者相關的IP位置給Okta，安全團隊便利用這個線索，確認了與受駭帳戶相關的額外檔案存取事件

攻擊者利用Okta系統中的服務帳戶，執行了這次入侵行動，但Okta並無法完全確定服務帳戶的使用者名稱和密碼洩漏的途徑，僅能透過調查結果猜測。被攻擊者竊取的服務帳戶擁有查看和更新客戶支援檔案的權限，Okta針對這個服務帳號的使用狀態進行調查，安全團隊發現一名員工在Okta管理的筆電上，於Chrome瀏覽器登入了個人的Google帳號。

也就是說，這個服務帳號的使用者名稱和密碼，被儲存到員工的個人Google帳戶中，Okta認為，是這名員工的個人Google帳戶或是個人裝置遭到入侵，而洩露了儲存在上面的服務帳戶憑證。

在為期14天的調查期間，Okta沒有在其日誌中找到可疑的下載行為，Okta資安長David Bradbury解釋，當使用者開啟並查看支援案例相關的附件時，會產生一個特定的日誌事件類型和ID，但如果使用者在客戶支援系統中，直接導航至檔案頁籤，像是這次攻擊者的行為，在日誌事件系統中便會產生完全不同的紀錄ID。

這個事件受害者之一的Cloudflare，在事件爆發後，指責Okta沒有採取恰當的措施，導致Cloudflare也受害。根據Okta所揭露的時間軸來看，1Password在9月29日就已經向Okta回報存在可疑的活動，BeyondTrust在10月2日也回報偵測到可疑活動，10月12日更有第3家的客戶向Okta回報。

Okta從9月29日開始調查這些可疑活動，但一直到了10月13日BeyondTrust提供了IP線索，Okta才在10月16日鎖定之前未注意到遭竊取的服務帳戶。不過，Okta並沒有及時作出處理，使得Cloudflare在10月18日還被入侵，雖然Cloudflare沒有客戶資料被影響，但攻擊者的確使用竊取到的令牌存取了Cloudflare的系統。

目前Okta採取的應對措施，包括停用受入侵的服務帳戶，並阻擋在Chrome登入個人Google帳戶，Okta也在客戶支援系統部署額外的監控規則，另外，現在Okta管理員對話令牌可以綁定網路位置，當系統偵測到網路變更，Okta管理員會被需要重新進行身分驗證，以進一步保護令牌安全性。