1. Puertoscanner en línea
  2. Últimas noticias y artículos sobre ciberseguridad
  3. Okta: La Violación Afectó A Todos Los Usuarios De Atención Al Cliente

Okta: La Violación Afectó A Todos Los Usuarios De Atención Al Cliente

Cuando KrebsOnSecurity dio la noticia el oct. 20, 2023 ese gigante de identidad y autenticación Okta Okta, que había sufrido una violación en su departamento de atención al cliente, dijo que la intrusión permitió a los piratas informáticos robar datos confidenciales de menos del uno por ciento de sus más de 18.000 clientes. Pero hoy, Okta revisó esa declaración de impacto y dijo que los atacantes también robaron el nombre y la dirección de correo electrónico de casi todos sus usuarios de atención al cliente.

Okta reconocido el mes pasado, durante varias semanas a partir de finales de septiembre de 2023, los intrusos tuvieron acceso a su sistema de gestión de casos de soporte al cliente. Ese acceso permitió a los piratas informáticos robar tokens de autenticación de algunos clientes de Okta, que los atacantes podrían usar para realizar cambios en las cuentas de los clientes, como agregar o modificar usuarios autorizados.

En sus informes iniciales de incidentes sobre la violación, Okta dijo los piratas informáticos obtuvieron acceso no autorizado a archivos dentro del sistema de atención al cliente de Okta asociados con 134 clientes de Okta, o menos del 1% de la base de clientes de Okta.

Pero en una declaración actualizada publicado temprano esta mañana, Okta dijo que determinó que los intrusos también robaron los nombres y direcciones de correo electrónico de todos los usuarios del sistema de atención al cliente de Okta.

"Todos los clientes de Okta Workforce Identity Cloud (WIC) y Customer Identity Solution (CIS) se ven afectados, excepto los clientes en nuestros entornos FedRAMP High y DOD IL4 (estos entornos utilizan un sistema de soporte separado al que NO accede el actor de amenazas)", afirma el aviso de Okta. "El sistema de gestión de casos de soporte Auth0/CIC tampoco se vio afectado por este incidente.”

Okta dijo que para casi el 97 por ciento de los usuarios, la única información de contacto expuesta era el nombre completo y la dirección de correo electrónico. Eso significa que alrededor del tres por ciento de las cuentas de soporte al cliente de Okta tenían uno o más de los siguientes campos de datos expuestos (además de la dirección de correo electrónico y el nombre): último inicio de sesión; nombre de usuario; número de teléfono; ID de federación SAML; nombre de la empresa; rol laboral; tipo de usuario; fecha del último cambio o restablecimiento de contraseña.

Okta señala que una gran cantidad de las cuentas expuestas pertenecen a administradores de Okta, personas de TI responsables de integrar la tecnología de autenticación de Okta en los entornos de los clientes, y que estas personas deben estar en guardia ante ataques de phishing dirigidos.

"Muchos usuarios del sistema de atención al cliente son administradores de Okta", señaló Okta. "Es fundamental que estos usuarios tengan inscrita la autenticación multifactor (MFA) para proteger no solo el sistema de atención al cliente, sino también para asegurar el acceso a sus consolas de administración de Okta.”

Si bien puede parecer completamente loco que algunas empresas permitan que su personal de TI opere sistemas de autenticación en toda la empresa utilizando una cuenta de administrador de Okta que no esté protegida con MFA, Okta dijo el seis por ciento de sus clientes (más de 1,000) persisten en esta peligrosa práctica.

En una divulgación previa el Nov. 3 Okta culpó de la intrusión a un empleado que guardó las credenciales de una cuenta de servicio en la infraestructura de atención al cliente de Okta en su cuenta personal de Google, y dijo que era probable que esas credenciales fueran robadas cuando el dispositivo personal del empleado que usaba la misma cuenta de Google se viera comprometido.

A diferencia de las cuentas de usuario estándar, a las que acceden humanos, las cuentas de servicio están reservadas principalmente para automatizar funciones de máquina a máquina, como realizar copias de seguridad de datos o análisis antivirus todas las noches a una hora determinada. Por esta razón, no se pueden bloquear con autenticación multifactor de la misma manera que las cuentas de usuario.

Dan Goodin en Ars Technica recuentos esto explica por qué MFA no se configuró en la cuenta de servicio Okta comprometida. Pero como él señala con razón, si una transgresión de un solo empleado infringe su red, lo está haciendo mal.

"Okta debería haber implementado controles de acceso además de una contraseña simple para limitar quién o qué podría iniciar sesión en la cuenta de servicio", escribió Goodin en noviembre. 4. "Una forma de hacerlo es poner un límite o condiciones a las direcciones IP que pueden conectarse. Otra es rotar regularmente los tokens de acceso utilizados para autenticarse en las cuentas de servicio. Y, por supuesto, debería haber sido imposible que los empleados iniciaran sesión en cuentas personales en una máquina de trabajo. Estas y otras precauciones son responsabilidad de las personas mayores dentro de Okta.”

Goodin sugirió que las personas que quieran profundizar en varios enfoques para proteger las cuentas de servicio deberían leer este hilo sobre Mastodonte.

"Un buen número de las contribuciones provienen de profesionales de la seguridad con amplia experiencia trabajando en entornos sensibles en la nube", escribió Goodin.



>>Más