קלאודפלייר הודיעה: נפרצנו בעקבות הפריצה לאוקטה

הפריצה לאוקטה (Okta Security), שאירעה בחג ההודיה האחרון, ממשיכה לגבות מחירים. קלאודפלייר (Cloudflare) הודיעה בסוף השבוע האחרון, כי המערכות שלה נפגעו באירוע הסייבר מהשנה שעברה, מה שהוביל לגישה לקוד המקור שלה על ידי גורמי איומים.

ספקית שירותי ה-IT הודיעה כי להערכתה, המתקפה, שהתרחשה בנובמבר האחרון בוצעה על ידי שחקן איום מדינתי, שהשתמש בתעודות שנגנבו במהלך המתקפה על אוקטה. קלאודפלייר הודתה, כי לא הצליחה להביא לכך שבאישורים שלה, שנגנבו במהלך המתקפה על אוקטה – לא ייעשה שימוש זדוני נוסף. למרות זאת, היא הודיעה כי נתוני לקוחות או מערכות לא הושפעו מהתקרית. זאת, כי היא מיישמת את תפיסת "אפס אמון" בסביבת ה-IT שלה, מה שהגביל את יכולתו של שחקן האיום לנוע לרוחב המערכות שלה. המתקפה הופסקה ב-24 בנובמבר, לאחר שכל הגישות והחיבורים של שחקן האיומים – נותקו ונוטרלו.

חוקרי קראודסטרייק (Crowdstrike) סיפקו פרטים על אירוע הסייבר. לדבריהם, הפגיעה בקלאודפלייר נעוצה בכך, שבמהלך הפריצה לאוקטה, ב-18 באוקטובר 2023, התוקפים גנבו אסימון שירות אחד ושלושה אישורי חשבון שירות השייכים לקלאודפלייר. אלה סיפקו לתוקפים את הגישה מרחוק למערכות של ספקית הענן, בהן מערכת של אטלסיאן (Atlassian), חשבון שירות Bitbucket המאפשר גישה למערכת ניהול קוד המקור וכן סביבת AWS, שלא הייתה לה גישה לרשת הגלובלית או שהכילה נתונים של לקוחות או נתונים רגישים. שחקן האיום החל בחיפוש אחר דרכים לגשת למערכות קלאודפלייר ב-14 בנובמבר באמצעות האישורים הגנובים, ולמחרת הוא הצליח בכך. שחקן האיום חיפש ומצא פרטים על התצורה והניהול של הרשת הגלובלית שלה, וכך השיג גישה מתמשכת – מרחוק, למערכות השונות. לאחר "מנוחה" של כמה ימים, התוקף השיג גישה רציפה לשרת אטלסיאן ב-22 בנובמבר, לאחר שהוא התקין כלי המאפשר שליטה ובקרה. אז הוא הבחין ב-120 מאגרי קוד והוריד 76 מהם. למחרת, צוות האבטחה של הקורבן הבחין בפעילות של התוקפים, והשבית את פעולת המערכות הנגועות.

לפי קלאודפלייר, שחקן האיום ניסה לגשת ל"מספר עצום" של מערכות אחרות ברשת שלו, כולל גישה לדטה סנטר, שעדיין לא החל לעבוד, בסאו פאולו שבברזיל. "אנו מבינים היטב את פעולותיו של שחקן האיום. הן היו מוגבלות למערכות שבהן ראינו את פעילותם", נמסר. קלאודפלייר הוסיפה, כי ערכה תחקיר מעמיק על המערכות והתוכנות שנפרצו, והקשיחה את כל הבקרות בסביבתה, כדי להבטיח מניעה של חדירה עתידית.

"האופי המתוחכם והמתודי של המתקפה מצביע על כך, שהמבצע היה תוקף ממדינת לאום", ציינה החברה, "בהתבסס על שיתוף הפעולה שלנו עם עמיתים בתעשייה ובממשלה, אנו מאמינים שהמתקפה בוצעה במטרה להשיג גישה מתמשכת ונרחבת לרשת הגלובלית שלנו".

חמש תקריות אבטחה לחברת האבטחה

בדצמבר האחרון אישרה אוקטה שכל משתמשי מערכת תמיכת הלקוחות שלה הושפעו מתקרית האבטחה האחרונה שאותה היא חוותה. חברת ניהול הזהויות והגישה חשפה, כי אירוע האבטחה שקרה בנובמבר במערכת ניהול תיקי התמיכה שלה השפיע על כל המשתמשים. זאת, בניגוד לדיווחים קודמים, שבהם נמסר כי הפריצה פגעה רק ב-1% מהם.

אחד האנליסטים ציין, כי "הפריצה לחברת האבטחה אוקטה היא בעיה רצינית, והיא מדגישה את החשיבות של אימות רב שלבי. גם בעת עבודה עם ספקיות תוכנה גדולות, משתמשים לא יכולים להיות בטוחים לחלוטין לגבי האבטחה".

היה זה אירוע הסייבר השני של אוקטה ב-2023. בינואר היא חוותה מתקפה דרך אחד הספקים של החברה. אז האירוע השפיע על "עד 366 לקוחות", לדבריה. גם 2022 לא הייתה טובה לאוקטה, אז היא חוותה שלוש  תקריות אבטחה.