1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Des pirates Informatiques ont volé des Jetons d'accès à l'Unité de support d'Okta

Des pirates Informatiques ont volé des Jetons d'accès à l'Unité de support d'Okta

Okta, une entreprise qui fournit des outils d'identité tels que l'authentification multifacteur et l'authentification unique à des milliers d'entreprises, a subi une faille de sécurité impliquant une compromission de son unité de support client, a appris KrebsOnSecurity. Okta affirme que l'incident a touché un “très petit nombre” de clients, mais il semble que les pirates informatiques responsables aient eu accès à la plate-forme d'assistance d'Okta pendant au moins deux semaines avant que l'entreprise ne maîtrise complètement l'intrusion.

Dans un avis envoyé à un nombre non divulgué de clients le oct. 19, Okta a déclaré qu'elle “a identifié une activité contradictoire qui a tiré parti de l'accès à un justificatif d'identité volé pour accéder au système de gestion des dossiers de soutien d'Okta. L'auteur de la menace a pu consulter les fichiers téléchargés par certains clients Okta dans le cadre de récents dossiers d'assistance.”

Okta a expliqué que lorsqu'il résout des problèmes avec les clients, il demande souvent l'enregistrement d'une session de navigateur Web (alias une archive HTTP ou MOIS fichier). Ce sont des fichiers sensibles car dans ce cas, ils incluent les cookies et les jetons de session du client, que les intrus peuvent ensuite utiliser pour usurper l'identité d'utilisateurs valides.

"Okta a travaillé avec les clients concernés pour enquêter et a pris des mesures pour protéger nos clients, y compris la révocation des jetons de session intégrés”, poursuit leur avis. "En général, Okta recommande de nettoyer toutes les informations d'identification et les cookies/jetons de session dans un fichier HAR avant de le partager.”

L'entreprise de sécurité Au-delà de la confiance fait partie des clients d'Okta qui ont reçu l'alerte d'Okta jeudi. Directeur de la Technologie BeyondTrust Jean-Marc Maiffret il a déclaré que cette alerte était survenue plus de deux semaines après que son entreprise ait alerté Okta d'un problème potentiel.

Maiffret a souligné que BeyondTrust avait détecté l'attaque au début du mois alors qu'elle se produisait et qu'aucun de ses propres clients n'avait été affecté. Il a dit ça le 2 octobre., L'équipe de sécurité de BeyondTrust a détecté que quelqu'un essayait d'utiliser un compte Okta attribué à l'un de ses ingénieurs pour créer un compte administrateur tout-puissant dans son environnement Okta.

Lorsque BeyondTrust a examiné l'activité du compte de l'employé qui a tenté de créer le nouveau profil administratif, elle a constaté que, 30 minutes seulement avant l'activité non autorisée, l'un de ses ingénieurs d'assistance avait partagé avec Okta l'un de ces fichiers HAR contenant un jeton de session Okta valide, a déclaré Maiffret.

"Notre administrateur a envoyé ce [fichier HAR] à la demande d'Okta, et 30 minutes plus tard, l'attaquant a commencé à pirater la session, a essayé de rejouer la session du navigateur et d'exploiter le cookie dans cet enregistrement du navigateur pour agir au nom de cet utilisateur”, il a dit.

Maiffret a déclaré que BeyondTrust avait fait un suivi avec Okta en octobre. 3 et ont déclaré qu'ils étaient assez confiants qu'Okta avait subi une intrusion, et qu'il avait réitéré cette conclusion lors d'un appel téléphonique avec Okta le 11 octobre et de nouveau en octobre. 13.

Dans une interview avec KrebsOnSecurity, Directeur Adjoint de la sécurité de l'information d'Okta Charlotte Wylie a déclaré qu'Okta croyait initialement que l'alerte de BeyondTrust en octobre. 2 n'était pas le résultat d'une brèche dans ses systèmes. Mais elle a dit ça en octobre. 17, l'entreprise avait identifié et contenu l'incident — désactivant le compte de gestion de cas client compromis et invalidant les jetons d'accès Okta associés à ce compte.

Wylie a refusé de dire exactement combien de clients ont reçu des alertes d'un problème de sécurité potentiel, mais l'a qualifié de “très, très petit sous-ensemble” de ses plus de 18 000 clients.

La divulgation d'Okta intervient quelques semaines seulement après les géants des casinos Divertissement de César et Complexes Hôteliers MGM ont été piratés. Dans les deux cas, les attaquants ont réussi à intégrer les employés de l'ingénieur social réinitialisation des exigences de connexion multifactorielle pour les comptes d'administrateur Okta.

En mars 2022, Okta a divulgué une violation du groupe de piratage LAPSUS$, un groupe de piratage criminel spécialisé dans les employés d'ingénierie sociale dans les entreprises ciblées. Une rapport après action d'Okta sur cet incident, il a été constaté que LAPSUS$ avait fait de l'ingénierie sociale sur le poste de travail d'un ingénieur support chez Sitel, une société d'externalisation tierce qui avait accès aux ressources d'Okta.

Wylie d'Okta a refusé de répondre aux questions sur la durée pendant laquelle l'intrus a pu avoir accès au compte de gestion de cas de l'entreprise, ou qui aurait pu être responsable de l'attaque. Cependant, elle a déclaré que l'entreprise pensait qu'il s'agissait d'un adversaire qu'elle avait déjà vu auparavant.

” Il s'agit d'un acteur menaçant connu qui, selon nous, nous a ciblés, ainsi que des clients spécifiques à Okta", a déclaré Wylie.

Mise à jour, 14 h 57 HE: Okta a publié un billet de blog à propos de cet incident qui comprend des "indicateurs de compromission" que les clients peuvent utiliser pour voir s'ils ont été affectés. Mais la société a souligné que “tous les clients qui ont été touchés par cela ont été informés. Si vous êtes un client Okta et que vous n'avez pas été contacté avec un autre message ou une autre méthode, il n'y a aucun impact sur votre environnement Okta ou vos tickets d'assistance.”

C'est une histoire qui évolue rapidement. Les mises à jour seront notées et horodatées ici.



>>Plus