.
O provedor de gerenciamento de identidade e autenticação Okta disse que os hackers conseguiram visualizar informações privadas dos clientes depois de obter acesso às credenciais de seu sistema de gerenciamento de suporte ao cliente.
“O agente da ameaça conseguiu visualizar arquivos carregados por certos clientes da Okta como parte de casos de suporte recentes”, disse o diretor de segurança da Okta, David Bradbury, na sexta-feira. Ele sugeriu que esses arquivos incluíam arquivos HTTP, ou HAR, que o pessoal de suporte da empresa usa para replicar a atividade do navegador do cliente durante sessões de solução de problemas.
“Os arquivos HAR também podem conter dados confidenciais, incluindo cookies e tokens de sessão, que atores mal-intencionados podem usar para se passar por usuários válidos”, escreveu Bradbury. “A Okta trabalhou com os clientes afetados para investigar e tomou medidas para proteger nossos clientes, incluindo a revogação de tokens de sessão incorporados. Em geral, a Okta recomenda limpar todas as credenciais e cookies/tokens de sessão em um arquivo HAR antes de compartilhá-lo.”
Bradbury não disse como os hackers roubaram as credenciais do sistema de suporte da Okta. O CSO também não informou se o acesso ao sistema de suporte comprometido era protegido por autenticação de dois fatores, exigida pelas melhores práticas.
A empresa de segurança BeyondTrust disse que alertou a Okta sobre atividades suspeitas no início deste mês, depois de detectar um invasor usando um cookie de autenticação válido tentando acessar uma das contas internas de administrador Okta da BeyondTrust. Os controles da política de acesso da BeyondTrust interromperam a “atividade inicial do invasor, mas as limitações no modelo de segurança do Okta permitiram que eles executassem algumas ações confinadas”, disse a empresa sem dar mais detalhes. Eventualmente, BeyondTrust conseguiu bloquear todo o acesso.
A Beyond Trust disse que notificou Okta sobre o evento, mas não obteve resposta por mais de duas semanas. Em uma postagem, os funcionários da BeyondTrust escreveram:
A resposta inicial ao incidente indicou um possível comprometimento na Okta de alguém de sua equipe de suporte ou de alguém em posição de acessar dados relacionados ao suporte ao cliente. Levamos nossas preocupações sobre uma violação à Okta em 2 de outubro. Não tendo recebido nenhum reconhecimento da Okta sobre uma possível violação, persistimos com os escalonamentos dentro da Okta até 19 de outubro, quando a liderança de segurança da Okta nos notificou que eles realmente haviam sofrido uma violação e que éramos um dos clientes afetados.
O cronograma do incidente fornecido pela Beyond Trust foi o seguinte:
- 2 de outubro de 2023 – Ataque centrado na identidade detectado e corrigido em uma conta de administrador interno do Okta e alertado o Okta
- 3 de outubro de 2023 – Solicitou ao suporte da Okta que escalasse para a equipe de segurança da Okta, dada a análise forense inicial apontando para um comprometimento dentro da organização de suporte da Okta
- 11 de outubro de 2023 e 13 de outubro de 2023 – Realizamos sessões Zoom com a equipe de segurança da Okta para explicar por que acreditávamos que eles poderiam estar comprometidos
- 19 de outubro de 2023 – A liderança de segurança da Okta confirmou que houve uma violação interna e a BeyondTrust foi um dos clientes afetados.
Okta sofreu diversas violações de segurança ou de dados nos últimos anos. Em março de 2022, imagens divulgadas mostraram que um grupo de hackers conhecido como Lapsus$ supostamente obteve acesso a um painel de administração do Okta, permitindo redefinir senhas e credenciais de autenticação multifatorial para clientes do Okta. A empresa disse que a violação ocorreu depois que os hackers comprometeram um sistema pertencente a um de seus subprocessadores.
Em dezembro de 2022, hackers roubaram o código-fonte do Okta armazenado em uma conta corporativa no GitHub.
Bradbury disse que a Okta notificou todos os clientes cujos dados foram acessados no evento recente. A postagem de sexta-feira contém endereços IP e agentes de usuário de navegador usados pelos atores da ameaça que outros podem usar para indicar se também foram afetados. O sistema de gerenciamento de suporte comprometido é separado do serviço de produção da Okta e do sistema de gerenciamento de casos Auth0/CIC, nenhum dos quais foi impactado.
.
