Okta, proveedor de gestión de identidad y autenticación, dijo que los piratas informáticos lograron ver información privada de los clientes después de obtener acceso a las credenciales de su sistema de gestión de atención al cliente.
«El actor de amenazas pudo ver archivos cargados por ciertos clientes de Okta como parte de casos de soporte recientes», dijo el viernes el director de seguridad de Okta, David Bradbury. Sugirió que esos archivos comprendían archivos HTTP, o HAR, que el personal de soporte de la empresa utiliza para replicar la actividad del navegador del cliente durante las sesiones de solución de problemas.
«Los archivos HAR también pueden contener datos confidenciales, incluidas cookies y tokens de sesión, que los actores maliciosos pueden utilizar para hacerse pasar por usuarios válidos», escribió Bradbury. “Okta ha trabajado con los clientes afectados para investigar y ha tomado medidas para proteger a nuestros clientes, incluida la revocación de tokens de sesión integrados. En general, Okta recomienda desinfectar todas las credenciales y cookies/tokens de sesión dentro de un archivo HAR antes de compartirlo”.
Bradbury no dijo cómo los piratas informáticos robaron las credenciales del sistema de soporte de Okta. El CSO tampoco dijo si el acceso al sistema de soporte comprometido estaba protegido por autenticación de dos factores, lo que exigen las mejores prácticas.
La firma de seguridad BeyondTrust dijo que alertó a Okta sobre actividad sospechosa a principios de este mes después de detectar a un atacante que usaba una cookie de autenticación válida intentando acceder a una de las cuentas de administrador internas de Okta de BeyondTrust. Los controles de la política de acceso de BeyondTrust detuvieron la «actividad inicial del atacante, pero las limitaciones en el modelo de seguridad de Okta les permitieron realizar algunas acciones limitadas», dijo la compañía sin dar más detalles. Finalmente, BeyondTrust pudo bloquear todo acceso.
Beyond Trust dijo que notificó a Okta sobre el evento pero no obtuvo respuesta durante más de dos semanas. En una publicación, los funcionarios de BeyondTrust escribieron:
La respuesta inicial al incidente indicó un posible compromiso en Okta de alguien de su equipo de soporte o de alguien en posición de acceder a los datos relacionados con el soporte al cliente. Le planteamos a Okta nuestras preocupaciones sobre una infracción el 2 de octubre. Al no haber recibido ningún reconocimiento por parte de Okta de una posible infracción, persistimos con las escaladas dentro de Okta hasta el 19 de octubre, cuando el liderazgo de seguridad de Okta nos notificó que efectivamente habían experimentado una infracción y que nosotros éramos uno de sus clientes afectados.
El cronograma del incidente proporcionado por Beyond Trust fue el siguiente:
- 2 de octubre de 2023: se detectó y reparó un ataque centrado en la identidad en una cuenta de administrador interna de Okta y se alertó a Okta.
- 3 de octubre de 2023: se solicitó al soporte de Okta que escalara al equipo de seguridad de Okta dado que los análisis forenses iniciales apuntaban a un compromiso dentro de la organización de soporte de Okta.
- 11 de octubre de 2023 y 13 de octubre de 2023: Se realizaron sesiones de Zoom con el equipo de seguridad de Okta para explicar por qué creíamos que podrían estar comprometidos.
- 19 de octubre de 2023: el liderazgo de seguridad de Okta confirmó que habían tenido una infracción interna y que BeyondTrust era uno de sus clientes afectados.
Okta ha experimentado múltiples violaciones de seguridad o de datos en los últimos años. En marzo de 2022, las imágenes que circularon mostraron que un equipo de piratería conocido como Lapsus$ supuestamente obtuvo acceso a un panel de administración de Okta, lo que le permitió restablecer contraseñas y credenciales de autenticación multifactor para los clientes de Okta. La compañía dijo que la violación se produjo después de que los piratas informáticos comprometieran un sistema perteneciente a uno de sus subprocesadores.
En diciembre de 2022, los piratas informáticos robaron el código fuente de Okta almacenado en una cuenta de empresa en GitHub.
Bradbury dijo que Okta notificó a todos los clientes a cuyos datos se accedió en el evento reciente. La publicación del viernes contiene direcciones IP y agentes de usuario del navegador utilizados por los actores de amenazas que otros pueden usar para indicar si también se han visto afectados. El sistema de gestión de soporte comprometido está separado del servicio de producción de Okta y del sistema de gestión de casos Auth0/CIC, ninguno de los cuales se vio afectado.