事故摘要

2023 年 10 到 11 月,Okta 與 Cloudflare 的公開說明都指出,攻擊者透過支援相關流程取得可用資訊,形成跨組織的身分供應鏈風險。

本案例的演示焦點:上游供應商支援流程(HAR 檔 / 工單附件 / session token)→ 客戶側身分接管的跨組織 chain。重點在 support workflow 承載身分敏感材料時的邊界 / 通報節奏設計。

攻擊路徑

  1. 鎖定支援流程與可取得的工單資料。
  2. 利用流程缺口取得敏感資訊或權限線索。
  3. 以第三方身份供應商作為橋接點延伸到客戶側。

失效控制面

  • 支援資料流沒有被視為高敏感資產。
  • 憑證或會話資料生命周期管理不足。
  • 供應商事件到客戶內部輪替流程沒有強制觸發。

如果 workflow 少一步會發生什麼

若缺少「供應商事件觸發的全域憑證輪替」,事件會停在公告層,實際可利用的憑證仍留在環境中。

可落地的 workflow 檢查點

  • 發布前:支援系統資料分級、限制下載與外流路徑(HAR sanitizer、附件 retention 限制),mechanism 是讓支援系統的「便利性」不直接傳導到身分風險。
  • 日常:建立第三方事件觸發的 runbook(含 cross-vendor coordination、客戶先發現的反向通報)。
  • 事故中:啟用供應商事件專用 playbook、執行輪替、追蹤、封鎖(前提是輪替能力涵蓋第三方授權 token、不只內部 session)。

從本案例到實作的 chain

本案例是事故敘事 layer,沿三步 chain 進入 implementation:

來源

來源類型可引用範圍
sec.okta.com官方攻擊路徑、support system root cause、影響範圍
blog.cloudflare.com政府/監管客戶側偵測 / 即時回應、Zero Trust 防守效果(peer evidence)
cloud.google.com技術分析UNC3944 對 SaaS / 身分供應鏈的攻擊模式