En iyi iş yazılımı geliştirme platformu Retool ihlal edildi, Google Authenticator’ı suçluyor

Yazılım geliştirme platformu Retool, veri ihlaline uğramasının ardından suçu Google’a attı.

Olay şöyle gelişti: SMS kimlik avı ve sosyal mühendislikle uğraşan bir bilgisayar korsanı topluluğu, Retool IT çalışanına ait bir Okta hesabının giriş bilgilerini çalmayı başardı. Retool için sahte bir dahili kimlik portalı oluşturmak ve kurbanın çok faktörlü kimlik doğrulama (MFA) kodunu paylaşmasını sağlamak için bir çalışanı taklit etmek de dahil olmak üzere oldukça ayrıntılı bir şemaydı.

Ancak şirketin Google’ın MFA aracı Authenticator’ı kullandığı göz önüne alındığında, Retool’un mühendislik müdürü Snir Kodesh, bunun tamamen Google’ın hatası olduğunu söylüyor. Arama motoru devi kısa bir süre önce Authenticator’da kullanıcıların birden fazla uç noktada araca giriş yapmasına olanak tanıyan yeni bir özellik sundu. Bu, saldırganların Authenticator’a ve nihayetinde Okta’ya girmelerini sağladı.

Hesap ele geçirme
BleepingComputer’ın aktardığına göre Kodesh, “Saldırgan bu kodlarla (ve Okta oturumuyla) VPN’imize ve en önemlisi dahili yönetici sistemlerimize erişim sağladı” dedi. “Bu, belirli bir müşteri grubuna (hepsi kripto endüstrisinde) hesap devralma saldırısı yapmalarını sağladı. (Kullanıcıların e-postalarını değiştirdiler ve şifrelerini sıfırladılar.) Hesaplarını ele geçirdikten sonra saldırgan bazı Retool uygulamalarını kurcaladı.”

“Google’ın ya Google Authenticator’daki (MFA kodlarının buluta kaydedilmesini teşvik eden) karanlık kalıplarını ortadan kaldırması ya da en azından kuruluşlara bunu devre dışı bırakma olanağı sağlaması gerektiğine inanıyoruz.”

Google ise yanıtında nispeten ılımlı davrandı. Kodesh’e senkronizasyon özelliğinin isteğe bağlı olduğunu hatırlattı ve şifrelerden geçiş anahtarları gibi daha güvenli kimlik doğrulama yöntemlerine geçmelerini önerdi:

“Birinci önceliğimiz, ister tüketici ister kurumsal olsun, tüm çevrimiçi kullanıcıların güvenliği ve emniyetidir ve bu olay, kimlik doğrulama teknolojilerimizi geliştirmeye neden kararlı olduğumuzun bir başka örneğidir. Bunun da ötesinde, kimlik avına karşı dirençli olan geçiş anahtarları gibi daha güvenli kimlik doğrulama teknolojilerine geçişi teşvik etmeye devam ediyoruz.”

Google sözcüsü, “OTP’ye dayalı olanlar gibi eski kimlik doğrulama teknolojileriyle ilgili kimlik avı ve sosyal mühendislik riskleri, sektörün bu FIDO tabanlı teknolojilere yoğun bir şekilde yatırım yapmasının nedenidir” dedi.

“Bu değişiklikler üzerinde çalışmaya devam ederken, Google Authenticator kullanıcılarının OTP’lerini Google Hesaplarıyla senkronize etme ya da yalnızca yerel olarak saklı tutma seçeneklerine sahip olduklarını bilmelerini sağlamak istiyoruz. Bu arada, Google Authenticator’da gelecekte yapılacak iyileştirmeleri değerlendirirken güvenlik ile kullanılabilirliği dengelemek için çalışmaya devam edeceğiz.”

Daha fazla haber için;

ASUS Vivobook S 15 OLED BAPE® Edition Teknoloji ve sokak modasını buluşturan tasarım