Los piratas informáticos intentan acceder a 1Password utilizando datos robados de Okta Breach

La reciente violación en Okta dio a los piratas informáticos la oportunidad de intentar infiltrarse en el administrador de contraseñas 1Password y en el proveedor de infraestructura de Internet Cloudflare.

Ambas empresas son clientes de Okta, un proveedor de inicio de sesión único para miles de empresas. Afortunadamente, 1Password y Cloudflare dicen que pudieron impedir que los atacantes ingresaran a sus sistemas de TI.

«Después de una investigación exhaustiva, llegamos a la conclusión de que no se accedió a los datos de los usuarios de 1Password», dijo la compañía en un informe el lunes.

Los piratas informáticos pudieron atacar a ambas empresas infiltrándose en el sistema de atención al cliente de Okta, que almacena archivos HTTP que los clientes cargarán para solucionar problemas. Estos mismos archivos HTTP pueden contener cookies de Internet y tokens de sesión de un cliente, que pueden usarse para hacerse pasar por usuarios válidos de Okta.

Parece que los piratas informáticos utilizaron un token de sesión tomado de un archivo HTTP para acceder a la cuenta Okta de 1Password el mes pasado. Esto desencadenó una alerta interna el 29 de septiembre, que alertó a 1Password. «Las investigaciones preliminares revelaron que la actividad en nuestro entorno de Okta procedía de una dirección IP sospechosa y luego se confirmó que un actor de amenazas había accedido a nuestro inquilino de Okta con privilegios administrativos», dijo la compañía en un informe de incidente.

(Crédito: Getty Images)

La investigación de la compañía encontró más tarde que un empleado de 1Password compartió un archivo HTTP con el servicio de atención al cliente de Okta el 29 de septiembre mientras usaba el Wi-Fi de un hotel. Sin embargo, toda la evidencia sugiere que los piratas informáticos sólo pudieron realizar un reconocimiento antes de ser expulsados ​​del sistema.

«Inmediatamente terminamos la actividad, investigamos y no encontramos ningún compromiso de los datos del usuario u otros sistemas confidenciales, ya sea de cara al empleado o al usuario», añadió 1Password.

Cloudflare informa que la compañía experimentó un incidente similar el 18 de octubre, en el que los piratas informáticos utilizaron un token de sesión robado de Okta. Esto llevó a los piratas informáticos a comprometer dos cuentas separadas de empleados de Cloudflare con Okta.

Sin embargo, los sistemas de seguridad de Cloudflare detectaron la intrusión. «Hemos verificado que este evento no afectó la información o los sistemas de los clientes de Cloudflare debido a nuestra rápida respuesta», escribió la compañía en su propia publicación de blog.

Tanto 1Password como Cloudflare también detectaron la infracción antes de que Okta les notificara sobre una posible intrusión, lo cual no es una buena idea para el proveedor de inicio de sesión único. Cloudflare también insinúa que Okta no tomó en serio los informes iniciales sobre la infracción. La publicación del blog de la compañía insta a Okta a «tomar en serio cualquier informe de compromiso y actuar de inmediato para limitar el daño», señalando que un proveedor de seguridad independiente, BeyondTrust, había notificado a la compañía sobre la violación ya el 2 de octubre.

Además, Cloudflare recomienda a todos los clientes de Okta que investiguen sus sistemas internos en busca de actividades inusuales y que confíen en las claves de seguridad de hardware en lugar de las contraseñas tradicionales.

Nos comunicamos con Okta y actualizaremos la historia si recibimos una respuesta. La compañía le dijo al periodista de seguridad Brian Krebs que un «subconjunto muy, muy pequeño» de sus más de 18.000 clientes está afectado. «Todos los clientes que se vieron afectados por esto han sido notificados», dijo Okta en una publicación de blog el viernes pasado.