ملخص

  • أصبح اختراق نظام دعم Okta اختبارًا للمساءلة لأن ملفات حالات الدعم وأدوات استكشاف الأخطاء يمكن أن تحمل ملفات تعريف ارتباط الجلسة ورموز المميزة وسياق المسؤول ومعلومات المستأجر القوية بما يكفي للتأثير على بيئات العملاء حتى عندما لا تكون خدمة الهوية الأساسية للإنتاج مخترقة بذاتها.
  • تشمل سجلات المزودإشعار أكتوبر 2023الخاص بـ Okta، ومنشور السبب الجذري والمعالجةلشهر نوفمبر، والتحديث والإجراءات الموصى بهااللاحق، وملاحظة إغلاق التحقيقلشهر فبراير 2024.
  • تُظهر تقارير العملاء من1PasswordوBeyondTrustوCloudflareكيف يمكن أن تترجم أدلة الدعم إلى عمل استجابة على مستوى المستأجر واحتواء من جانب العميل.
  • تعتبر مستندات Okta المودعة لدى SEC، وهيالنموذج 8-K، والملحق 99.2، والنموذج 10-Q، والنموذج 10-Kمهمة لأن الإفصاح من قبل الشركة العامة وضع حادثة الدعم ضمن علاقات العملاء ومخاطر مزود الطرف الثالث والآثار التجارية.
  • السؤال حول الإصلاح هو ما إذا كان Okta وعملاؤه يمكنهم إثبات أن معالجة ملفات حالات الدعم وتنقيح HAR وربط الجلسة وتوفير نظام الدعم والإشعارات واكتشاف العملاء تتطابق الآن مع السلطة التي يمكن أن تحملها سير عمل دعم مزود الهوية عن غير قصد.

أصبح الدعم جزءًا من حدود الهوية

غالبًا ما يتم التعامل مع أنظمة الدعم على أنها خارج حدود المنتج. فهي تقع في سير عمل خدمة العملاء، وأدوات إدارة الحالات، ومرفقات الملفات، وسلاسل البريد الإلكتروني، وسجلات استكشاف الأخطاء. وقد تحدى حادث Okta لعام 2023 هذا الفصل. قالت الشركة فيإشعار 20 أكتوبرإن أحد الخصوم استخدم بيانات اعتماد مسروقة للوصول إلى نظام إدارة حالات الدعم وعرض الملفات التي تم تحميلها من قبل بعض العملاء كجزء من حالات الدعم. كما حذرت Okta من أن ملفات HAR يمكن أن تحتوي على بيانات حساسة، بما في ذلك ملفات تعريف الارتباط ورموز الجلسة.

هذه هي نقطة المحورية في المساءلة. إذا كانت أداة دعم تحتوي على ملف تعريف ارتباط أو رمز جلسة نشط، فإنها يمكن أن تعمل كمفتاح حتى لو لم يتم اختراق خدمة الهوية الرئيسية. يصبح سير عمل الدعم جزءًا من حدود الثقة العملية لأنه يتلقى مواد يمكن أن تمثل جلسة مصادقة. الحدود ليست حيث يقول مخطط المنتج. إنها حيث يمكن تخزين السلطة الحساسة، وعرضها، ونسخها، وإعادة تشغيلها، أو إساءة استخدامها.

وصفمنشور السبب الجذري والمعالجةلـ Okta بتاريخ 3 نوفمبر الوصول بين 28 سبتمبر و17 أكتوبر، وملفات مرتبطة بـ 134 عميلاً، واختطاف خمس جلسات عملاء باستخدام نتائج الجلسات من الملفات التي تم الوصول إليها، وحساب خدمة دعم مخترق، ومسار تعرض بيانات الاعتماد الأكثر احتمالًا والذي يتضمن ملف Google الشخصي أو جهاز موظف. هذا السجل هو من تأليف الشركة، ولا ينبغي المبالغة في تقدير المسار الأكثر احتمالًا كدليل مستقل. لكن الحقيقة الرئيسية مباشرة: قالت Okta إن نتائج الجلسات من ملفات الدعم استُخدمت لاختطاف خمس جلسات.

التمييز بين اختراق خدمة الإنتاج واختراق أداة الدعم مهم. ذكرت Okta أن خدمة Okta الإنتاجية لم يتم اختراقها. التحليل المسؤول يجب أن يحافظ على ذلك. لكن الحفاظ عليه لا يقلل من الحادثة. بالنسبة لمزودي الهوية، تشمل ثقة العملاء سير العمل المحيط الذي يتعامل مع أدلة المستأجر، واستكشاف أخطاء المسؤول، وملفات الدعم، والإشعارات. يمكن أن تظل خدمة الإنتاج سليمة بينما لا يزال سير عمل الدعم يخلق مخاطر للمستأجر.

لهذا السبب تنتمي الحادثة إلى سجل حدود الثقة. يطلب مزودو الهوية من العملاء مركزية المصادقة وقرارات الوصول. يجب حوكمة نظام الدعم المحيط كما لو كان يمكنه مؤقتًا حمل أجزاء من تلك السلطة. تذكرة الدعم ليست مجرد محادثة. يمكن أن تصبح مسار وصول.

جعلت ملفات HAR الراحة التشخيصية مسألة أمنية

ملفات أرشيف HTTP مفيدة لأنها تلتقط نشاط شبكة المتصفح لاستكشاف الأخطاء. يمكنها أيضًا حمل مواد حساسة. تحذروثائق Okta حول إنشاء ملفات HARالعملاء من إزالة البيانات السرية أو الشخصية قبل إرسال الملف إلى Okta. تشرحوثائق مطوري Chrome حول حفظ طلبات الشبكة في ملف HARسلوك التصدير في المتصفح والتعامل الحالي مع الرؤوس الحساسة. تظهر هذه المصادر المقايضة التشخيصية: قد يحتاج الدعم إلى تفاصيل كافية لإعادة إنتاج المشكلة، ولكن نفس التفاصيل يمكن أن تعرض الجلسة.

يشرحدليل مطوري Okta حول ملفات تعريف ارتباط الجلسةكيفية عمل جلسات المتصفح في منصة Okta. يوفرورقة الغش لإدارة الجلساتمن OWASP ومورد تنفيذ إدارة الجلساتمن NIST المبدأ الأمني العام: يمكن أن يكون معرف الجلسة مكافئًا مؤقتًا للمصادقة التي أنشأته، لذلك يمكن أن يؤدي الإفصاح إلى انتحال الشخصية. هذه مصادر عامة، وليست نتائج حادثة Okta، لكنها تشرح لماذا يمكن أن يكون الملف الذي تم تحميله للدعم خطيرًا.

المشكلة ليست أنه لا ينبغي استخدام ملفات HAR أبدًا. المشكلة هي أنه يجب التعامل مع مخاطرها كمسألة تحكم في الدعم من الدرجة الأولى. يحتاج العملاء إلى تحذيرات واضحة، وأدوات تنقيح محلية، وتطهير آلي حيثما أمكن، وإعدادات افتراضية للاحتفاظ بأقل قدر ممكن، وتعليمات حول وقت تدوير الجلسات بعد التحميل. تحتاج فرق الدعم إلى سير عمل يقلل من عرض المحتوى الحساس، ويسجل الوصول إلى الملفات، ويتطلب ضوابط أقوى للملفات الواردة من سياقات المسؤول.

منشور Cloudflare حولتقديم HAR Sanitizerذو صلة لأنه حوّل درسًا من جانب العميل إلى أداة عملية: إزالة المواد الحساسة المختارة قبل المشاركة. هذا لا يعني أن أي مطهر يمكنه ضمان إزالة كل شكل من أشكال بيانات الاعتماد، أو أن الدعم لن يحتاج أبدًا إلى بيانات حساسة. إنه يوضح أن التنقيح يمكن تصميمه كسير عمل، وليس تركه لذاكرة المستخدم.

الدرس الأكبر هو أن الراحة التشخيصية غالبًا ما تستعير السلطة. قد يتضمن الملف الذي تم جمعه لحل مشكلة تسجيل الدخول الأدلة اللازمة لانتحال شخصية ذلك الدخول. قد يتجاوز سير عمل الدعم المصمم للسرعة عن غير قصد الانضباط المطبق على مسار الهوية الإنتاجي. إذا كانت أداة استكشاف الأخطاء يمكنها فتح المستأجر، فيجب معاملة عملية التحميل، وعملية الاحتفاظ، وعملية وصول الدعم، وإرشادات تدوير الجلسة كضوابط هوية.