Okta, la empresa de gestión de identidades y accesos, adquiere la empresa de seguridad Spera.

La adquisición de Spera, que se prevé cerrar durante el primer trimestre fiscal a principios de febrero, se basará en las capacidades existentes de detección y respuesta a amenazas de identidad (ITDR) de Okta, dice Okta, al tiempo que equipa a los clientes con tecnología para «elevar la seguridad de su identidad, la gestión de posturas y la identificación». , detectar y remediar riesgos”.

Los términos del acuerdo no fueron revelados, pero Calcalist informa que Okta pagará aproximadamente entre 100 y 130 millones de dólares por Spera, dependiendo de los hitos.

«Como socio líder en identidad, seguimos comprometidos a equipar a nuestros clientes con las herramientas y el conocimiento necesarios en un entorno cada vez más desafiante, y estamos entusiasmados de cómo Spera Security puede amplificar nuestro trabajo ITDR para ofrecer resultados más seguros para nuestros clientes». dice una publicación publicada esta mañana en el blog de Okta.

Spera, que mi colega Frederic ha cubierto anteriormente, fue cofundada hace varios años por los empresarios Dor Fledel y Ariel Kadyshevitch. La plataforma, con sede en Palo Alto y Tel Aviv, proporciona herramientas para identificar silos en aplicaciones de infraestructura y software como servicio, lo que ayuda a descubrir vulnerabilidades en poblaciones de usuarios y priorizar problemas de seguridad en función de regulaciones, vectores de ataque y mejores prácticas de la industria.

Un servicio como Spera también cumple un propósito que va más allá de la seguridad, como señaló Frederic en su cobertura: ayudar a las empresas a reducir sus costos de licencia al permitirles encontrar cuentas inactivas que pueden desactivarse.

Spera, que tiene alrededor de 25 empleados, había recaudado 10 millones de dólares antes de la adquisición de Okta. Entre los inversores se encontraban YL Ventures e inversores ángeles procedentes de gigantes tecnológicos como Google, Palo Alto Networks, Akamai y Zendesk.

Okta considera que Spera permitirá a sus clientes evaluar mejor la postura de seguridad de su infraestructura de identidad, así como sus aplicaciones y servicios, y atraer nuevos clientes a la plataforma Okta. La compañía cita una investigación de Gartner que implica que, para 2026, el 90% de las organizaciones utilizarán algún tipo de estrategia ITDR integrada, frente al 5% y el 20% actual.

«Con Spera Security, equiparemos a nuestros clientes con información y tecnología más ricas para mejorar la gestión de su postura de seguridad de identidad e identificar, detectar y remediar riesgos rápidamente», continúa la publicación del blog. «Pueden utilizar las sugerencias tangibles de Spera Security, como identificar SSO [single sign-on] o MFA [multifactor authentication] exclusiones para cuentas privilegiadas y de servicio para mejorar su postura de seguridad y remediar cualquier vector de amenaza potencial antes de que se vuelva crítico”.

La compra de Spera por parte de Okta se produce después de la adquisición por parte del primero del administrador de contraseñas Uno, respaldado por a16z, y después de un trimestre fiscal optimista para Okta. La compañía de 6 mil millones de dólares superó las expectativas de Wall Street en el cuarto trimestre, lo que sugiere que la empresa que cotiza en bolsa está en el camino correcto, al menos a los ojos de los accionistas.

A finales de octubre, la plataforma de gestión de identidad Okta comenzó a notificar a sus usuarios sobre una violación de su sistema de atención al cliente. La compañía dijo en ese momento que alrededor del 1 por ciento de sus 18.400 clientes se vieron afectados por el incidente. Pero en una ampliación masiva de esta estimación esta mañana, Okta dijo que su investigación ha descubierto evidencia adicional de que, de hecho, todo A varios de sus clientes les robaron datos durante la infracción hace dos meses.

La estimación original del 1 por ciento estaba relacionada con la actividad en la que los atacantes utilizaron credenciales de inicio de sesión robadas para apoderarse de una cuenta de soporte de Okta que tenía algún acceso al sistema del cliente para solucionar problemas. Pero la compañía admitió el miércoles que su investigación inicial había pasado por alto otra actividad maliciosa en la que el atacante simplemente ejecutó una consulta automatizada de la base de datos que contiene nombres y direcciones de correo electrónico de «todos los usuarios del sistema de atención al cliente de Okta». Esto también incluía información sobre los empleados de Okta.

Si bien los atacantes solicitaron más datos que solo nombres y direcciones de correo electrónico (incluidos nombres de empresas, números de teléfono de contacto y los datos del último inicio de sesión y los últimos cambios de contraseña), Okta dice que «la mayoría de los campos del informe están en blanco y el informe no incluye credenciales de usuario ni datos personales sensibles. Para el 99,6 por ciento de los usuarios del informe, la única información de contacto registrada es el nombre completo y la dirección de correo electrónico”.

Los únicos usuarios de Okta que no se ven afectados por la infracción son los clientes de alta sensibilidad que deben cumplir con el Programa Federal de Gestión de Autorizaciones y Riesgos de los Estados Unidos o las restricciones de Nivel 4 de Impacto del Departamento de Defensa de los Estados Unidos. Okta proporciona una plataforma de soporte independiente para estos clientes.

Okta dice que no se dio cuenta de que todos los clientes se habían visto afectados por el incidente porque, si bien su investigación inicial analizó las consultas que los atacantes ejecutaron en el sistema, «el tamaño del archivo de un informe en particular descargado por el actor de la amenaza era mayor que el archivo generado durante nuestra investigación inicial”. En la evaluación inicial, cuando Okta regeneró el informe en cuestión como parte de seguir los pasos de los atacantes, no ejecutó un informe «sin filtrar», lo que habría arrojado más resultados. Esto significó que en el análisis inicial de Okta, había una discrepancia entre el tamaño del archivo que descargaron los investigadores y el tamaño del archivo que habían descargado los atacantes, según consta en los registros de la empresa.

Okta no respondió de inmediato a las solicitudes de WIRED de aclaración sobre por qué la compañía tardó un mes en ejecutar un informe sin filtrar y conciliar esta inconsistencia.

El proveedor de gestión de identidad y autenticación Okta se ha visto afectado por otra infracción, esta vez contra un proveedor externo que permitió a los piratas informáticos robar información personal de 5.000 empleados de Okta.

El compromiso se llevó a cabo a finales de septiembre contra Rightway Healthcare, un servicio que Okta utiliza para ayudar a los empleados y sus dependientes a encontrar proveedores de atención médica y tarifas de planes. Un actor de amenazas no identificado obtuvo acceso a la red de Rightway y se llevó un archivo del censo de elegibilidad que el proveedor mantenía en nombre de Okta. Okta se enteró del compromiso y el robo de datos el 12 de octubre y no lo reveló hasta el jueves, exactamente tres semanas después.

“Los tipos de información personal contenidos en el archivo del censo de elegibilidad afectado incluían su nombre, número de seguro social y número de plan de seguro médico o de salud”, decía una carta enviada a los empleados afectados de Okta. «No tenemos pruebas que sugieran que su información personal haya sido utilizada indebidamente en su contra».

La carta, que es la primera vez que se revela el suceso, decía que Okta abrió una investigación inmediatamente después de enterarse del asunto. La investigación reveló que en el expediente robado se incluían datos de 4.961 empleados de Okta.

En un correo electrónico, un representante de Okta dijo que, según la información proporcionada por Rightway, el intruso primero obtuvo acceso al teléfono celular de un empleado de Rightway y luego usó ese acceso para cambiar las credenciales y tomar los archivos. Los archivos, que datan de abril de 2019 a 2020, fueron extraídos del entorno de TI de Rightway. La información personal pertenecía a los empleados de Okta y sus dependientes de 2019 y 2020. Okta también dijo que Rightway le informó que el compromiso involucraba a varios clientes de Rightway.

«Este incidente no está relacionado con el uso de los servicios de Okta y los servicios de Okta permanecen seguros», dijo el representante. «Este incidente no afecta a ningún dato de cliente de Okta».

Los representantes de Rightway no respondieron de inmediato a un correo electrónico en busca de comentarios y detalles adicionales sobre la violación.

La divulgación del jueves se produce dos semanas después de que Okta revelara que los piratas informáticos comprometieron su sistema de atención al cliente y obtuvieron credenciales que les permitieron tomar el control de las cuentas de administración internas de Okta de los clientes. Luego, los atacantes utilizaron esas credenciales en ataques posteriores dirigidos a las cuentas de administración interna de 1Password, BeyondTrust, Cloudflare y posiblemente a otros clientes.

Okta tiene su sede en San Francisco y proporciona identidad en la nube, gestión de acceso para inicio de sesión único, autenticación multifactor y servicios API a miles de organizaciones en todo el mundo. La empresa ha sido criticada anteriormente por violaciones de seguridad y su manejo posterior. Más recientemente, Cloudflare criticó a Okta por no expulsar a los intrusos de su red hasta el 18 de octubre, 16 días después de enterarse por primera vez del compromiso. Cloudflare instó a Okta a actuar más rápido en el futuro cuando se enterara de violaciones de seguridad, proporcionando divulgaciones antes y exigiendo el uso de claves de hardware para proteger los sistemas internos y los sistemas utilizados por proveedores de soporte externos.

«Para un proveedor de servicios de seguridad críticos como Okta, creemos que seguir estas mejores prácticas es algo en juego», escribieron los investigadores de Cloudflare.

El representante de Okta dijo en el correo electrónico del jueves que cuando la compañía se enteró del compromiso de Rightway el 12 de octubre, los investigadores tenían 27.000 registros para clasificar. Gran parte del proceso tuvo que realizarse manualmente y llevó tiempo completarlo.

«Esta es la segunda vez que Cloudflare se ve afectado por una violación de los sistemas de Okta», escribió un grupo de ingenieros de Cloudflare el viernes. Continuaron compartiendo una lista de recomendaciones sobre cómo Okta puede mejorar su postura de seguridad: “Tome en serio cualquier informe de compromiso y actúe de inmediato para limitar el daño. Proporcione información oportuna y responsable a sus clientes cuando identifique que una infracción de sus sistemas los ha afectado. Requerir claves de hardware para proteger todos los sistemas, incluidos los proveedores de soporte externos”.

Los ingenieros de Cloudflare agregaron que ven la adopción de medidas de protección como estas como «apuestas en juego» para una empresa como Okta que brinda servicios de seguridad tan cruciales a tantas organizaciones.

Cuando WIRED le hizo a Okta una serie de preguntas sobre qué medidas está tomando para mejorar las defensas del servicio al cliente a raíz de las dos infracciones y por qué parece haber una falta de urgencia cuando la empresa recibe informes de posibles incidentes, la empresa se negó a comentar. , pero un portavoz dijo que pronto compartiría más información sobre estos temas.

«Realmente quiero saber qué controles técnicos había implementado Okta después de la infracción de 2022 y por qué esta vez será diferente», dice Evan Johnson, cofundador de RunReveal, que desarrolla una herramienta de detección de incidentes y visibilidad del sistema. «Mi corazonada es que no implementaron claves de seguridad de hardware, o no las implementaron para sus contratistas que brindan soporte».

Jake Williams, ex hacker de la Agencia de Seguridad Nacional de EE. UU. y actual miembro del cuerpo docente del Instituto de Seguridad Aplicada de Redes, enfatiza que «el problema es más grande que Okta», y señala que los ataques a la cadena de suministro de software y el volumen de ataques contra los que las empresas deben defenderse es significativo. . «Desafortunadamente, es común que los proveedores de servicios de cualquier tamaño tengan problemas para creer que son la fuente de un incidente hasta que se presenten pruebas definitivas», afirma.

Aún así, añade Williams, «hay un patrón aquí con Okta e implica soporte subcontratado». También señala que una de las soluciones que Okta sugirió a los clientes a raíz del incidente reciente (eliminar cuidadosamente los tokens de sesión de soporte que podrían verse comprometidos de los datos de resolución de problemas) no es realista.

«La sugerencia de Okta de que de alguna manera el cliente debe ser responsable de eliminar los tokens de sesión de los archivos que solicita específicamente para solucionar problemas es absurda», afirma. «Eso es como darle un cuchillo a un niño pequeño y luego culparlo por sangrar».

La reciente violación en Okta dio a los piratas informáticos la oportunidad de intentar infiltrarse en el administrador de contraseñas 1Password y en el proveedor de infraestructura de Internet Cloudflare.

Ambas empresas son clientes de Okta, un proveedor de inicio de sesión único para miles de empresas. Afortunadamente, 1Password y Cloudflare dicen que pudieron impedir que los atacantes ingresaran a sus sistemas de TI.

«Después de una investigación exhaustiva, llegamos a la conclusión de que no se accedió a los datos de los usuarios de 1Password», dijo la compañía en un informe el lunes.

Los piratas informáticos pudieron atacar a ambas empresas infiltrándose en el sistema de atención al cliente de Okta, que almacena archivos HTTP que los clientes cargarán para solucionar problemas. Estos mismos archivos HTTP pueden contener cookies de Internet y tokens de sesión de un cliente, que pueden usarse para hacerse pasar por usuarios válidos de Okta.

Parece que los piratas informáticos utilizaron un token de sesión tomado de un archivo HTTP para acceder a la cuenta Okta de 1Password el mes pasado. Esto desencadenó una alerta interna el 29 de septiembre, que alertó a 1Password. «Las investigaciones preliminares revelaron que la actividad en nuestro entorno de Okta procedía de una dirección IP sospechosa y luego se confirmó que un actor de amenazas había accedido a nuestro inquilino de Okta con privilegios administrativos», dijo la compañía en un informe de incidente.

(Crédito: Getty Images)

La investigación de la compañía encontró más tarde que un empleado de 1Password compartió un archivo HTTP con el servicio de atención al cliente de Okta el 29 de septiembre mientras usaba el Wi-Fi de un hotel. Sin embargo, toda la evidencia sugiere que los piratas informáticos sólo pudieron realizar un reconocimiento antes de ser expulsados ​​del sistema.

«Inmediatamente terminamos la actividad, investigamos y no encontramos ningún compromiso de los datos del usuario u otros sistemas confidenciales, ya sea de cara al empleado o al usuario», añadió 1Password.

Cloudflare informa que la compañía experimentó un incidente similar el 18 de octubre, en el que los piratas informáticos utilizaron un token de sesión robado de Okta. Esto llevó a los piratas informáticos a comprometer dos cuentas separadas de empleados de Cloudflare con Okta.

Sin embargo, los sistemas de seguridad de Cloudflare detectaron la intrusión. «Hemos verificado que este evento no afectó la información o los sistemas de los clientes de Cloudflare debido a nuestra rápida respuesta», escribió la compañía en su propia publicación de blog.

Tanto 1Password como Cloudflare también detectaron la infracción antes de que Okta les notificara sobre una posible intrusión, lo cual no es una buena idea para el proveedor de inicio de sesión único. Cloudflare también insinúa que Okta no tomó en serio los informes iniciales sobre la infracción. La publicación del blog de la compañía insta a Okta a «tomar en serio cualquier informe de compromiso y actuar de inmediato para limitar el daño», señalando que un proveedor de seguridad independiente, BeyondTrust, había notificado a la compañía sobre la violación ya el 2 de octubre.

Además, Cloudflare recomienda a todos los clientes de Okta que investiguen sus sistemas internos en busca de actividades inusuales y que confíen en las claves de seguridad de hardware en lugar de las contraseñas tradicionales.

Nos comunicamos con Okta y actualizaremos la historia si recibimos una respuesta. La compañía le dijo al periodista de seguridad Brian Krebs que un «subconjunto muy, muy pequeño» de sus más de 18.000 clientes está afectado. «Todos los clientes que se vieron afectados por esto han sido notificados», dijo Okta en una publicación de blog el viernes pasado.

El gigante de redes y seguridad Cloudflare y el fabricante de administradores de contraseñas 1Password dijeron que los piratas informáticos atacaron brevemente sus sistemas luego de una reciente violación de la unidad de soporte de Okta.

Tanto Cloudflare como 1Password dijeron que sus recientes intrusiones estaban relacionadas con la violación de Okta, pero que los incidentes no afectaron los sistemas de sus clientes ni los datos de sus usuarios.

«Inmediatamente terminamos la actividad, investigamos y no encontramos ningún compromiso de los datos de los usuarios u otros sistemas sensibles, ya sea de cara a los empleados o al usuario», dijo el director de tecnología de 1Password, Pedro Canahuati, en una publicación de blog. «Hemos confirmado que esto fue el resultado de una violación del sistema de soporte de Okta», dijo Canahuati.

Ars Technica informó por primera vez que 1Password se vio afectada por la infracción de Okta.

Okta, que proporciona tecnología de inicio de sesión único a empresas y organizaciones, dijo el viernes por la noche que los piratas informáticos habían irrumpido en su unidad de atención al cliente y robaron archivos cargados por sus clientes para diagnosticar problemas técnicos. Estos archivos incluyen sesiones de grabación del navegador que pueden contener credenciales de usuario confidenciales, como cookies y tokens de sesión, que, si son robados, pueden permitir a los piratas informáticos hacerse pasar por cuentas de usuario.

El portavoz de Okta, Vitor De Souza, dijo a TechCrunch que alrededor del 1% de sus 17.000 clientes corporativos (o 170 organizaciones) se vieron afectados por su infracción.

En un informe adjunto que detalla el incidente de seguridad, 1Password dijo que los piratas informáticos utilizaron un token de sesión de un archivo que había sido subido por un miembro del equipo de TI ese mismo día al sistema de la unidad de soporte de Okta para solucionar problemas. El token de sesión permitió a los piratas informáticos utilizar la cuenta del miembro de TI sin necesidad de su contraseña o código de dos factores, lo que le otorgó al pirata informático acceso limitado al panel Okta de 1Password.

1Password dijo que el incidente ocurrió el 29 de septiembre, dos semanas antes de que Okta hiciera públicos los detalles del incidente.

Cloudflare también confirmó en una publicación de blog el viernes que los piratas informáticos atacaron de manera similar sus sistemas utilizando un token de sesión robado de la unidad de soporte de Okta. El director de seguridad de la información de Cloudflare, Grant Bourzikas, dijo que el incidente de Cloudflare, que comenzó el 18 de octubre, resultó en «ningún acceso del actor de amenazas a ninguno de nuestros sistemas o datos», en gran parte porque Cloudflare utiliza claves de seguridad de hardware que evaden los ataques de phishing.

La empresa de seguridad BeyondTrust dijo que también se vio afectada por la infracción de Okta, pero que también cerró rápidamente su intrusión. En una publicación de blog, BeyondTrust dijo que notificó a Okta sobre el incidente el 2 de octubre, pero acusó a Okta de no reconocer la infracción durante casi tres semanas.

Este es el último incidente de seguridad de Okta, luego del robo de parte de su código fuente en diciembre de 2022 y un incidente a principios de enero de 2022 en el que los piratas informáticos publicaron capturas de pantalla de la red interna de Okta.

El precio de las acciones de Okta cayó más del 11% el viernes, borrando al menos 2 mil millones de dólares del valor de la compañía, luego de la noticia de la violación, que fue reportada por primera vez por el periodista de seguridad Brian Krebs.

1Password, un administrador de contraseñas utilizado por millones de personas y más de 100.000 empresas, dijo que detectó actividad sospechosa en una cuenta de empresa proporcionada por Okta, el servicio de identidad y autenticación que reveló una infracción el viernes.

«El 29 de septiembre, detectamos actividad sospechosa en nuestra instancia de Okta que utilizamos para administrar nuestras aplicaciones orientadas a los empleados», escribió el CTO de 1Password, Pedro Canahuati, en un correo electrónico. «Terminamos inmediatamente la actividad, investigamos y no encontramos ningún compromiso de los datos de los usuarios u otros sistemas confidenciales, ni de los empleados ni de los usuarios».

Desde entonces, dijo Canahuati, su empresa ha estado trabajando con Okta para determinar los medios que utilizó el atacante desconocido para acceder a la cuenta. El viernes, los investigadores confirmaron que se debió a una infracción que Okta informó que afectó a su sistema de gestión de atención al cliente.

Okta dijo entonces que un actor de amenazas obtuvo acceso no autorizado a su sistema de gestión de casos de atención al cliente y, desde allí, vio archivos cargados por algunos clientes de Okta. Los archivos que el actor de amenazas obtuvo en el compromiso de Okta incluían archivos HTTP, o HAR, que el personal de soporte de Okta utiliza para replicar la actividad del navegador del cliente durante las sesiones de solución de problemas. Entre la información confidencial que almacenan se encuentran las cookies de autenticación y los tokens de sesión, que los actores malintencionados pueden utilizar para hacerse pasar por usuarios válidos.

La firma de seguridad BeyondTrust dijo que descubrió la intrusión después de que un atacante utilizó cookies de autenticación válidas en un intento de acceder a su cuenta de Okta. El atacante pudo realizar «algunas acciones limitadas», pero finalmente, los controles de la política de acceso de BeyondTrust detuvieron la actividad y bloquearon todo acceso a la cuenta. 1Password ahora se convierte en el segundo cliente conocido de Okta en ser blanco de un ataque de seguimiento.

La declaración del lunes de 1Password no proporcionó más detalles sobre el incidente y los representantes no respondieron a las preguntas. Un informe fechado el 18 de octubre y compartido en un espacio de trabajo interno de 1Password Notion decía que el actor de amenazas obtuvo un archivo HAR que un empleado de TI de la empresa había creado cuando recientemente contactó con el soporte de Okta. El archivo contenía un registro de todo el tráfico entre el navegador del empleado de 1Password y los servidores de Okta, incluidas las cookies de sesión.

Los representantes de 1Password no respondieron a una solicitud para confirmar la autenticidad del documento, que fue proporcionada tanto en texto como en capturas de pantalla por un empleado anónimo de 1Password.

Según el informe, el atacante también accedió al inquilino Okta de 1Password. Los clientes de Okta utilizan estos inquilinos para administrar el acceso al sistema y los privilegios del sistema asignados a varios empleados, socios o clientes. El actor de amenazas también logró ver las asignaciones de grupo en el inquilino Okta de 1Password y realizar otras acciones, ninguna de las cuales resultó en entradas en los registros de eventos. Mientras estaba conectado, el actor de amenazas actualizó lo que se conoce como IDP (proveedor de identidad), utilizado para autenticar un entorno de producción proporcionado por Google.

El equipo de TI de 1Password se enteró del acceso el 29 de septiembre cuando los miembros del equipo recibieron un correo electrónico inesperado sugiriendo que uno de ellos había solicitado una lista de usuarios de 1Password con derechos de administrador para el inquilino de Okta. Los miembros del equipo reconocieron que ningún empleado autorizado había realizado la solicitud y alertaron al equipo de respuesta de seguridad de la empresa. Desde que salió a la luz el incidente, 1Password también cambió la configuración de su inquilino de Okta, incluida la denegación de inicios de sesión de proveedores de identidad que no sean de Okta.

Un resumen de las acciones que tomó el atacante son:

• Intentó acceder al panel de Okta del empleado de TI, pero fue bloqueado
• Se actualizó un IDP existente vinculado al entorno de producción de Google de 1Password.
• Activó el IDP
• Solicitó un informe de usuarios administrativos.

El 2 de octubre, tres días después del evento, los atacantes volvieron a iniciar sesión en el inquilino Okta de 1Password e intentaron utilizar el IDP de Google que habían habilitado previamente. El actor no tuvo éxito porque el desplazado interno había sido destituido. Tanto el acceso anterior como el posterior provinieron de un servidor proporcionado por el servidor de nube LeaseWeb en los EE. UU. y utilizaron una versión de Chrome en una máquina con Windows.

La violación de Okta es uno de una serie de ataques en los últimos años a grandes empresas que brindan software o servicios a un gran número de clientes. Después de acceder al proveedor, los atacantes utilizan su posición para realizar ataques posteriores dirigidos a los clientes. Es probable que se identifiquen más clientes de Okta en las próximas semanas.

Okta, proveedor de gestión de identidad y autenticación, dijo que los piratas informáticos lograron ver información privada de los clientes después de obtener acceso a las credenciales de su sistema de gestión de atención al cliente.

«El actor de amenazas pudo ver archivos cargados por ciertos clientes de Okta como parte de casos de soporte recientes», dijo el viernes el director de seguridad de Okta, David Bradbury. Sugirió que esos archivos comprendían archivos HTTP, o HAR, que el personal de soporte de la empresa utiliza para replicar la actividad del navegador del cliente durante las sesiones de solución de problemas.

«Los archivos HAR también pueden contener datos confidenciales, incluidas cookies y tokens de sesión, que los actores maliciosos pueden utilizar para hacerse pasar por usuarios válidos», escribió Bradbury. “Okta ha trabajado con los clientes afectados para investigar y ha tomado medidas para proteger a nuestros clientes, incluida la revocación de tokens de sesión integrados. En general, Okta recomienda desinfectar todas las credenciales y cookies/tokens de sesión dentro de un archivo HAR antes de compartirlo”.

Bradbury no dijo cómo los piratas informáticos robaron las credenciales del sistema de soporte de Okta. El CSO tampoco dijo si el acceso al sistema de soporte comprometido estaba protegido por autenticación de dos factores, lo que exigen las mejores prácticas.

La firma de seguridad BeyondTrust dijo que alertó a Okta sobre actividad sospechosa a principios de este mes después de detectar a un atacante que usaba una cookie de autenticación válida intentando acceder a una de las cuentas de administrador internas de Okta de BeyondTrust. Los controles de la política de acceso de BeyondTrust detuvieron la «actividad inicial del atacante, pero las limitaciones en el modelo de seguridad de Okta les permitieron realizar algunas acciones limitadas», dijo la compañía sin dar más detalles. Finalmente, BeyondTrust pudo bloquear todo acceso.

Beyond Trust dijo que notificó a Okta sobre el evento pero no obtuvo respuesta durante más de dos semanas. En una publicación, los funcionarios de BeyondTrust escribieron:

La respuesta inicial al incidente indicó un posible compromiso en Okta de alguien de su equipo de soporte o de alguien en posición de acceder a los datos relacionados con el soporte al cliente. Le planteamos a Okta nuestras preocupaciones sobre una infracción el 2 de octubre. Al no haber recibido ningún reconocimiento por parte de Okta de una posible infracción, persistimos con las escaladas dentro de Okta hasta el 19 de octubre, cuando el liderazgo de seguridad de Okta nos notificó que efectivamente habían experimentado una infracción y que nosotros éramos uno de sus clientes afectados.

El cronograma del incidente proporcionado por Beyond Trust fue el siguiente:

• 2 de octubre de 2023: se detectó y reparó un ataque centrado en la identidad en una cuenta de administrador interna de Okta y se alertó a Okta.
• 3 de octubre de 2023: se solicitó al soporte de Okta que escalara al equipo de seguridad de Okta dado que los análisis forenses iniciales apuntaban a un compromiso dentro de la organización de soporte de Okta.
• 11 de octubre de 2023 y 13 de octubre de 2023: Se realizaron sesiones de Zoom con el equipo de seguridad de Okta para explicar por qué creíamos que podrían estar comprometidos.
• 19 de octubre de 2023: el liderazgo de seguridad de Okta confirmó que habían tenido una infracción interna y que BeyondTrust era uno de sus clientes afectados.

Okta ha experimentado múltiples violaciones de seguridad o de datos en los últimos años. En marzo de 2022, las imágenes que circularon mostraron que un equipo de piratería conocido como Lapsus$ supuestamente obtuvo acceso a un panel de administración de Okta, lo que le permitió restablecer contraseñas y credenciales de autenticación multifactor para los clientes de Okta. La compañía dijo que la violación se produjo después de que los piratas informáticos comprometieran un sistema perteneciente a uno de sus subprocesadores.

En diciembre de 2022, los piratas informáticos robaron el código fuente de Okta almacenado en una cuenta de empresa en GitHub.

Bradbury dijo que Okta notificó a todos los clientes a cuyos datos se accedió en el evento reciente. La publicación del viernes contiene direcciones IP y agentes de usuario del navegador utilizados por los actores de amenazas que otros pueden usar para indicar si también se han visto afectados. El sistema de gestión de soporte comprometido está separado del servicio de producción de Okta y del sistema de gestión de casos Auth0/CIC, ninguno de los cuales se vio afectado.

El gigante de identidad y acceso Okta dijo que un pirata informático irrumpió en su sistema de tickets de atención al cliente y robó archivos confidenciales que pueden usarse para ingresar a las redes de los clientes de Okta.

El director de seguridad de Okta, David Bradbury, dijo en una publicación de blog el viernes que un pirata informático utilizó una credencial robada para acceder al sistema de gestión de casos de soporte de la compañía, que contenía archivos de grabación del navegador cargados por los clientes de Okta para solucionar problemas.

Las sesiones de grabación del navegador (o archivos HAR) se utilizan para diagnosticar problemas durante una sesión de navegación web y, a menudo, incluyen cookies de sitios web y tokens de sesión que, en caso de ser robados, pueden usarse para hacerse pasar por una cuenta de usuario real sin necesidad de su contraseña o doble factor.

Bradbury dijo que «los clientes afectados por esto han sido notificados». No está claro cómo se vio comprometido inicialmente el sistema de gestión de casos de soporte de Okta.

Okta proporciona a las organizaciones y empresas herramientas de acceso e identidad, como el «inicio de sesión único», que permite a los empleados acceder a todos los recursos de una empresa en la red con un conjunto de credenciales. Okta tiene alrededor de 17.000 clientes y gestiona alrededor de 50.000 millones de usuarios, dijo la compañía en una publicación de blog de marzo de 2023.

El portavoz de Okta, Vitor De Souza, dijo a TechCrunch que alrededor del 1% de los clientes se ven afectados por esta infracción, pero se negó a proporcionar una cifra específica.

La empresa de seguridad BeyondTrust, que utiliza Okta, dijo en su propia publicación de blog que notificó a Okta de una posible infracción el 2 de octubre después de que detectó un intento de comprometer su red poco tiempo después de que un administrador compartiera una sesión de grabación del navegador con un agente de soporte de Okta. .

El director de tecnología de BeyondTrust, Marc Maiffret, dijo que el pirata informático utilizó un token de sesión de la sesión de grabación del navegador cargada para crear una cuenta de administrador en la red de BeyondTrust, que cerró inmediatamente. Maiffret dijo que el incidente «fue el resultado de que el sistema de soporte de Okta se vio comprometido, lo que permitió a un atacante acceder a archivos confidenciales cargados por sus clientes».

El periodista de seguridad Brian Krebs fue el primero en informar la noticia. Krebs informó que Okta contuvo el incidente antes del 17 de octubre, citando a la subdirectora de seguridad de la información de la compañía, Charlotte Wylie.

Este es el último incidente en Okta, que en 2022 afirmó que los piratas informáticos robaron parte de su código fuente. A principios de 2022, los piratas informáticos publicaron capturas de pantalla que mostraban el acceso a la red interna de la empresa después de piratear una empresa que Okta utilizaba para el servicio al cliente.

Las acciones de Okta cerraron con una caída del 11% el viernes tras la noticia de la infracción.

Lea más en TechCrunch:

Un pirata informático se infiltró en Okta, un proveedor de servicios de inicio de sesión único para miles de empresas, pero el atacante solo violó el sistema de atención al cliente de la empresa.

No está claro cómo entró el hacker. Por ahora, Okta solo ha dicho que el atacante «aprovechó el acceso a una credencial robada para acceder al sistema de gestión de casos de soporte de Okta».

El sistema de gestión de casos de soporte está separado del servicio de producción de Okta, que puede permitir a los usuarios iniciar sesión en múltiples sitios web y aplicaciones a través de un método de inicio de sesión único.

Aún así, el pirata informático tenía la capacidad de robar datos confidenciales de los archivos cargados en el sistema de gestión de casos de clientes de Okta. Esto incluía cookies y tokens de sesión integrados en archivos HTTP Archive que los clientes podían cargar para ayudarles a solucionar problemas.

Robar estas cookies y tokens de sesión puede permitir a un hacker “hacerse pasar por usuarios válidos”, dijo la compañía, convirtiéndose en otra forma de ingresar a la cuenta de alguien. Como resultado, Okta envió notificaciones a los clientes afectados, advirtiéndoles sobre la amenaza.

«Okta ha trabajado con los clientes afectados para investigar y ha tomado medidas para proteger a nuestros clientes, incluida la revocación de tokens de sesión integrados», añadió la empresa.

Okta se negó a proporcionar más detalles. Pero según el periodista de seguridad Brian Krebs, la compañía parece haber descubierto la violación cuando un cliente, el proveedor de seguridad BeyondTrust, notó una actividad inusual en su red. Una cuenta de Okta que pertenece a un ingeniero de BeyondTrust intentó crear una poderosa cuenta de administrador. Luego, el proveedor de seguridad notó que la actividad se estaba produciendo a través de un token de sesión válido que BeyondTrust había compartido previamente con Okta a través de un archivo HTTP.

Esto llevó a BeyondTrust a creer que Okta había sufrido una infracción. Sin embargo, Okta dijo a Krebs que sólo un pequeño número de los más de 18.000 clientes de la empresa se vieron afectados. «Este es un actor de amenazas conocido que creemos que se ha dirigido a nosotros y a clientes específicos de Okta», añadió la compañía.

La infracción se produce más de un año después de que Okta sufriera otro ataque que involucró a la pandilla LAPSUS$, que comprometió una PC que pertenecía a un agente de atención al cliente contratado por una empresa de subcontratación externa. En agosto, Okta también advirtió sobre los piratas informáticos que utilizan técnicas de ingeniería social para engañar a los clientes para que reconfiguren sus sistemas de autenticación multifactor para entrar.

La publicación del blog de Okta incluye las direcciones IP que utilizó el hacker para infiltrarse en el sistema de atención al cliente de la empresa. Los clientes afectados pueden utilizar esas direcciones IP para comprobar si su propio sistema puede haber encontrado al mismo atacante.