1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Los piratas informáticos Robaron Tokens de Acceso de la Unidad de Soporte de Okta

Los piratas informáticos Robaron Tokens de Acceso de la Unidad de Soporte de Okta

Okta, una empresa que proporciona herramientas de identidad como autenticación multifactor e inicio de sesión único a miles de empresas, ha sufrido una violación de seguridad que involucra un compromiso de su unidad de atención al cliente, según ha aprendido KrebsOnSecurity. Okta dice que el incidente afectó a un "número muy pequeño" de clientes, sin embargo, parece que los piratas informáticos responsables tuvieron acceso a la plataforma de soporte de Okta durante al menos dos semanas antes de que la compañía contuviera por completo la intrusión.

En un aviso enviado a un número no revelado de clientes el oct. El 19 de septiembre, Okta dijo que " ha identificado actividad adversarial que aprovechó el acceso a una credencial robada para acceder al sistema de gestión de casos de soporte de Okta. El actor de amenazas pudo ver los archivos cargados por ciertos clientes de Okta como parte de casos de soporte recientes.”

Okta explicó que cuando se trata de solucionar problemas con los clientes, a menudo solicitará una grabación de una sesión del navegador web (también conocida como un archivo HTTP o HAR archivo). Estos son archivos confidenciales porque en este caso incluyen las cookies y los tokens de sesión del cliente, que los intrusos pueden usar para hacerse pasar por usuarios válidos.

"Okta ha trabajado con los clientes afectados para investigar y ha tomado medidas para proteger a nuestros clientes, incluida la revocación de tokens de sesión incrustados", continuó su aviso. "En general, Okta recomienda desinfectar todas las credenciales y cookies/ tokens de sesión dentro de un archivo HAR antes de compartirlo.”

La empresa de seguridad Más allá de la confianza se encuentra entre los clientes de Okta que recibieron la alerta del jueves de Okta. Director de Tecnología de BeyondTrust Marc Maiffret dijo que la alerta se produjo más de dos semanas después de que su compañía alertara a Okta sobre un posible problema.

Maiffret enfatizó que BeyondTrust detectó el ataque a principios de este mes mientras sucedía, y que ninguno de sus propios clientes se vio afectado. Lo dijo el 2 de octubre., El equipo de seguridad de BeyondTrust detectó que alguien estaba intentando usar una cuenta de Okta asignada a uno de sus ingenieros para crear una cuenta de administrador todopoderosa dentro de su entorno Okta.

Cuando BeyondTrust revisó la actividad de la cuenta de empleado que intentó crear el nuevo perfil administrativo, descubrieron que, solo 30 minutos antes de la actividad no autorizada, uno de sus ingenieros de soporte compartió con Okta uno de estos archivos HAR que contenía un token de sesión Okta válido, dijo Maiffret.

"Nuestro administrador envió ese [archivo HAR] a petición de Okta, y 30 minutos después de eso, el atacante comenzó a secuestrar la sesión, intentó reproducir la sesión del navegador y aprovechar la cookie en la grabación del navegador para actuar en nombre de ese usuario", dijo.

Maiffret dijo que BeyondTrust hizo un seguimiento con Okta en octubre. 3 y dijeron que estaban bastante seguros de que Okta había sufrido una intrusión, y que reiteró esa conclusión en una llamada telefónica con Okta el 11 de octubre y nuevamente en octubre. 13.

En una entrevista con KrebsOnSecurity, Subdirector de Seguridad de la Información de Okta Charlotte Wylie said Okta inicialmente creyó que la alerta de BeyondTrust en octubre. 2 no fue el resultado de una violación en sus sistemas. Pero ella dijo eso por Oct. el 17 de septiembre, la compañía había identificado y contenido el incidente, deshabilitando la cuenta de administración de casos de clientes comprometida e invalidando los tokens de acceso de Okta asociados con esa cuenta.

Wylie se negó a decir exactamente cuántos clientes recibieron alertas de un posible problema de seguridad, pero lo caracterizó como un "subconjunto muy, muy pequeño" de sus más de 18,000 clientes.

La revelación de Okta se produce pocas semanas después de los gigantes de los casinos Entretenimiento de César y Resorts de MGM fueron hackeados. En ambos casos, los atacantes lograron que los empleados de ingeniería social entraran restablecimiento de los requisitos de inicio de sesión multifactor para las cuentas de administrador de Okta.

En marzo de 2022, Okta reveló una violación del grupo de piratería LAPSUS$, un grupo de piratería criminal que se especializó en empleados de ingeniería social en empresas seleccionadas. Un informe posterior a la acción de Okta en ese incidente, se descubrió que LAPSUS$ había hecho ingeniería social en la estación de trabajo de un ingeniero de soporte en Sitel, una empresa de subcontratación externa que tenía acceso a los recursos de Okta.

Wylie de Okta se negó a responder preguntas sobre cuánto tiempo el intruso pudo haber tenido acceso a la cuenta de administración de casos de la compañía, o quién podría haber sido responsable del ataque. Sin embargo, sí dijo que la compañía cree que este es un adversario que han visto antes.

"Este es un actor de amenazas conocido que creemos que nos ha atacado a nosotros y a clientes específicos de Okta", dijo Wylie.

Actualización, 2: 57 p. m. ET: Okta ha publicado una publicación de blog acerca de este incidente que incluye algunos "indicadores de compromiso" que los clientes pueden usar para ver si se vieron afectados. Pero la compañía enfatizó que " todos los clientes que se vieron afectados por esto han sido notificados. Si es cliente de Okta y no se le ha contactado con otro mensaje o método, no hay impacto en su entorno de Okta ni en sus tickets de soporte.”

Esta es una historia que se mueve rápidamente. Las actualizaciones se anotarán y marcarán la hora aquí.



>>Más