Una violación del sistema de gestión de casos de soporte de Okta utilizando una credencial robada permitió a los atacantes acceder a archivos confidenciales cargados por los clientes del gigante de la seguridad de identidad, informó BeyondTrust.
La compañía con sede en San Francisco dijo que el actor de amenazas podría ver archivos cargados por algunos clientes como parte de casos de soporte recientes, escribió el viernes el director de seguridad de Okta, David Bradbury, en una publicación de blog. La empresa de gestión de acceso privilegiado BeyondTrust, un cliente de Okta, expresó por primera vez su preocupación sobre una infracción el 2 de octubre, pero no recibió ninguna notificación de que se había producido un compromiso hasta el jueves.
Las acciones de Okta cayeron $9,89 – o 11,57% – a $75,57 por acción en las operaciones del viernes, que es el nivel más bajo que las acciones de la empresa han cotizado desde el 30 de agosto. La violación de Okta fue reportada por primera vez el viernes por Krebs on Security y seguido por la publicación de blogs de Bradbury. y Maiffret. La noticia llega un mes después de que Reuters dijera que los piratas informáticos habían violado el software Okta en MGM y Caesars y habían accedido a los sistemas de otras tres.
El soporte de Okta pedirá a los clientes durante el horario comercial normal que carguen un archivo HTTP, que permite solucionar problemas replicando la actividad del navegador. Los archivos contienen cookies y tokens de sesión que los actores malintencionados pueden utilizar para hacerse pasar por usuarios válidos. Okta trabajó con los clientes afectados para investigar y revocó los tokens de sesión integrados para los clientes.
El 2 de octubre, los equipos de seguridad de BeyondTrust vieron a un atacante intentando acceder a una cuenta de administrador interna de Okta utilizando una cookie de sesión válida robada del sistema de soporte de Okta, según Maiffret. La respuesta inicial al incidente indicó un posible compromiso en Okta, ya sea por alguien del equipo de soporte o alguien en condiciones de acceder a los datos relacionados con el soporte al cliente. Eso llevó a BeyondTrust a contactar a Okta (ver: CEO de BeyondTrust sobre la fusión de privilegios y acceso a infraestructura).
Según lo consignado, BeyondTrust había pedido al soporte de Okta el 3 de octubre que escalara el incidente al equipo de seguridad de Okta, dado que los análisis forenses iniciales apuntaban a un compromiso dentro de la organización de soporte de Okta y la preocupación de que otros clientes de Okta pudieran estar expuestos. Okta no proporcionó ninguna información sobre un compromiso conocido o un incidente de seguridad en curso en ese momento, según Maiffret.
Luego, el 11 de octubre, BeyondTrust se reunió a través de Zoom con un miembro del equipo de seguridad de la información de Okta para compartir sus hallazgos y solicitar datos de registro adicionales relacionados con el acceso a los datos de los casos de soporte. Dos días después, BeyondTrust recibió registros de soporte de Okta que contenían varias discrepancias, lo que provocó una solicitud de registros más detallados relacionados con las discrepancias dado que otros clientes de Okta probablemente se vieron afectados.
Finalmente, el liderazgo de seguridad de Okta llamó para confirmar que de hecho había habido una violación y que BeyondTrust era uno de los clientes expuestos. Maiffret dijo que los controles de la política del cliente bloquearon la actividad inicial del atacante, pero las limitaciones en los modelos de seguridad de Okta les permitieron realizar algunas acciones limitadas. Posteriormente, BeyondTrust verificó que el atacante no había obtenido acceso a sus sistemas.
La CISO adjunta de Okta, Charlotte Wylie, le dijo a Krebs on Security que Okta inicialmente había creído que la alerta de BeyondTrust del 2 de octubre no era el resultado de una violación de sus sistemas. El martes, dijo Wylie, Okta había identificado y contenido el incidente, aunque se negó a responder preguntas sobre cuánto tiempo el intruso pudo haber tenido acceso a la cuenta de gestión de casos de la empresa. Okta cree que el adversario es uno que ha visto antes.