Un pirata informático se infiltró en Okta, un proveedor de servicios de inicio de sesión único para miles de empresas, pero el atacante solo violó el sistema de atención al cliente de la empresa.
No está claro cómo entró el hacker. Por ahora, Okta solo ha dicho que el atacante «aprovechó el acceso a una credencial robada para acceder al sistema de gestión de casos de soporte de Okta».
El sistema de gestión de casos de soporte está separado del servicio de producción de Okta, que puede permitir a los usuarios iniciar sesión en múltiples sitios web y aplicaciones a través de un método de inicio de sesión único.
Aún así, el pirata informático tenía la capacidad de robar datos confidenciales de los archivos cargados en el sistema de gestión de casos de clientes de Okta. Esto incluía cookies y tokens de sesión integrados en archivos HTTP Archive que los clientes podían cargar para ayudarles a solucionar problemas.
Robar estas cookies y tokens de sesión puede permitir a un hacker “hacerse pasar por usuarios válidos”, dijo la compañía, convirtiéndose en otra forma de ingresar a la cuenta de alguien. Como resultado, Okta envió notificaciones a los clientes afectados, advirtiéndoles sobre la amenaza.
«Okta ha trabajado con los clientes afectados para investigar y ha tomado medidas para proteger a nuestros clientes, incluida la revocación de tokens de sesión integrados», añadió la empresa.
Okta se negó a proporcionar más detalles. Pero según el periodista de seguridad Brian Krebs, la compañía parece haber descubierto la violación cuando un cliente, el proveedor de seguridad BeyondTrust, notó una actividad inusual en su red. Una cuenta de Okta que pertenece a un ingeniero de BeyondTrust intentó crear una poderosa cuenta de administrador. Luego, el proveedor de seguridad notó que la actividad se estaba produciendo a través de un token de sesión válido que BeyondTrust había compartido previamente con Okta a través de un archivo HTTP.
Recomendado por nuestros editores
Esto llevó a BeyondTrust a creer que Okta había sufrido una infracción. Sin embargo, Okta dijo a Krebs que sólo un pequeño número de los más de 18.000 clientes de la empresa se vieron afectados. «Este es un actor de amenazas conocido que creemos que se ha dirigido a nosotros y a clientes específicos de Okta», añadió la compañía.
La infracción se produce más de un año después de que Okta sufriera otro ataque que involucró a la pandilla LAPSUS$, que comprometió una PC que pertenecía a un agente de atención al cliente contratado por una empresa de subcontratación externa. En agosto, Okta también advirtió sobre los piratas informáticos que utilizan técnicas de ingeniería social para engañar a los clientes para que reconfiguren sus sistemas de autenticación multifactor para entrar.
La publicación del blog de Okta incluye las direcciones IP que utilizó el hacker para infiltrarse en el sistema de atención al cliente de la empresa. Los clientes afectados pueden utilizar esas direcciones IP para comprobar si su propio sistema puede haber encontrado al mismo atacante.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de seguridad boletín informativo con nuestras principales historias de privacidad y seguridad enviado directamente a su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. La suscripción a un boletín indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.