El gigante de redes y seguridad Cloudflare y el fabricante de administradores de contraseñas 1Password dijeron que los piratas informáticos atacaron brevemente sus sistemas luego de una reciente violación de la unidad de soporte de Okta.
Tanto Cloudflare como 1Password dijeron que sus recientes intrusiones estaban relacionadas con la violación de Okta, pero que los incidentes no afectaron los sistemas de sus clientes ni los datos de sus usuarios.
«Inmediatamente terminamos la actividad, investigamos y no encontramos ningún compromiso de los datos de los usuarios u otros sistemas sensibles, ya sea de cara a los empleados o al usuario», dijo el director de tecnología de 1Password, Pedro Canahuati, en una publicación de blog. «Hemos confirmado que esto fue el resultado de una violación del sistema de soporte de Okta», dijo Canahuati.
Ars Technica informó por primera vez que 1Password se vio afectada por la infracción de Okta.
Okta, que proporciona tecnología de inicio de sesión único a empresas y organizaciones, dijo el viernes por la noche que los piratas informáticos habían irrumpido en su unidad de atención al cliente y robaron archivos cargados por sus clientes para diagnosticar problemas técnicos. Estos archivos incluyen sesiones de grabación del navegador que pueden contener credenciales de usuario confidenciales, como cookies y tokens de sesión, que, si son robados, pueden permitir a los piratas informáticos hacerse pasar por cuentas de usuario.
El portavoz de Okta, Vitor De Souza, dijo a TechCrunch que alrededor del 1% de sus 17.000 clientes corporativos (o 170 organizaciones) se vieron afectados por su infracción.
En un informe adjunto que detalla el incidente de seguridad, 1Password dijo que los piratas informáticos utilizaron un token de sesión de un archivo que había sido subido por un miembro del equipo de TI ese mismo día al sistema de la unidad de soporte de Okta para solucionar problemas. El token de sesión permitió a los piratas informáticos utilizar la cuenta del miembro de TI sin necesidad de su contraseña o código de dos factores, lo que le otorgó al pirata informático acceso limitado al panel Okta de 1Password.
1Password dijo que el incidente ocurrió el 29 de septiembre, dos semanas antes de que Okta hiciera públicos los detalles del incidente.
Cloudflare también confirmó en una publicación de blog el viernes que los piratas informáticos atacaron de manera similar sus sistemas utilizando un token de sesión robado de la unidad de soporte de Okta. El director de seguridad de la información de Cloudflare, Grant Bourzikas, dijo que el incidente de Cloudflare, que comenzó el 18 de octubre, resultó en «ningún acceso del actor de amenazas a ninguno de nuestros sistemas o datos», en gran parte porque Cloudflare utiliza claves de seguridad de hardware que evaden los ataques de phishing.
La empresa de seguridad BeyondTrust dijo que también se vio afectada por la infracción de Okta, pero que también cerró rápidamente su intrusión. En una publicación de blog, BeyondTrust dijo que notificó a Okta sobre el incidente el 2 de octubre, pero acusó a Okta de no reconocer la infracción durante casi tres semanas.
Este es el último incidente de seguridad de Okta, luego del robo de parte de su código fuente en diciembre de 2022 y un incidente a principios de enero de 2022 en el que los piratas informáticos publicaron capturas de pantalla de la red interna de Okta.
El precio de las acciones de Okta cayó más del 11% el viernes, borrando al menos 2 mil millones de dólares del valor de la compañía, luego de la noticia de la violación, que fue reportada por primera vez por el periodista de seguridad Brian Krebs.