Infracción de Okta: 134 clientes expuestos en el ataque al sistema de soporte de octubre

Okta aseguró que los atacantes que violaron su sistema de atención al cliente el mes pasado obtuvieron acceso a archivos pertenecientes a 134 clientes, cinco de ellos luego fueron objeto de ataques de secuestro de sesión con la ayuda de tokens de sesión robados.

«Desde el 28 de septiembre de 2023 hasta el 17 de octubre de 2023, un actor de amenazas obtuvo acceso no autorizado a archivos dentro del sistema de atención al cliente de Okta asociados con 134 clientes de Okta, o menos del 1% de los clientes de Okta», reveló Okta.

«Algunos de estos archivos eran archivos HAR que contenían tokens de sesión que a su vez podrían usarse para ataques de secuestro de sesión. El actor de amenazas pudo usar estos tokens de sesión para secuestrar las sesiones legítimas de Okta de 5 clientes, 3 de los cuales han compartido las suyas propias. respuesta a este evento.»

Los tres clientes de Okta que ya revelaron que fueron atacados debido a la violación de seguridad de la compañía en octubre son 1Password, BeyondTrust y Cloudflare. Todos notificaron a Okta sobre actividad sospechosa después de detectar intentos no autorizados de iniciar sesión en las cuentas de administrador internas de Okta.

A pesar de haber sido alertado sobre intentos de secuestro de sesión el 29 de septiembre, Okta tardó más de dos semanas en confirmar oficialmente la violación en su sistema de soporte después de múltiples reuniones con los tres clientes afectados.

Para violar el sistema de soporte de Okta, los actores de amenazas utilizaron credenciales de una cuenta de servicio de soporte robada de la cuenta personal de Google de un empleado después de que iniciaron sesión en su perfil personal de Google mientras usaban una computadora portátil administrada por Okta.

Si bien Okta no compartió cómo los atacantes robaron las credenciales de la cuenta de servicio, la compañía dijo que «la vía más probable para la exposición de esta credencial es el compromiso de la cuenta personal de Google o del dispositivo personal del empleado».

En respuesta a la infracción, Okta tomó múltiples medidas para evitar incidentes similares en el futuro, incluida la desactivación de la cuenta de servicio comprometida, el bloqueo del uso de perfiles personales de Google con Google Chrome en dispositivos administrados por Okta y la implementación de reglas adicionales de detección y monitoreo para sus clientes. sistema de soporte y vinculación de tokens de sesión de administrador de Okta según la ubicación de la red.

A principios de esta semana, Okta advirtió a casi 5.000 empleados actuales y anteriores que su información personal quedó expuesta después de que su proveedor de cobertura de atención médica, Rightway Healthcare, fuera violado el 23 de septiembre. La información confidencial expuesta en esta violación de terceros incluye los nombres completos de los empleados, sus números de seguro social (SSN) y números de planes de seguro médico o de salud.

Zi zoomSendmarc

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.