1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. Okta: La Violation A Affecté Tous Les Utilisateurs Du Support Client

Okta: La Violation A Affecté Tous Les Utilisateurs Du Support Client

Lorsque KrebsOnSecurity a annoncé la nouvelle en octobre. 20, 2023 ce géant de l'identité et de l'authentification Okta après avoir subi une brèche dans son service d'assistance à la clientèle, Okta a déclaré que l'intrusion avait permis aux pirates de voler des données sensibles à moins d'un pour cent de ses plus de 18 000 clients. Mais aujourd'hui, Okta a révisé cette déclaration d'impact, affirmant que les attaquants avaient également volé le nom et l'adresse e-mail de presque tous ses utilisateurs du support client.

Okta reconnu le mois dernier, pendant plusieurs semaines à compter de la fin septembre 2023, les intrus ont eu accès à son système de gestion des cas de support client. Cet accès a permis aux pirates de voler des jetons d'authentification à certains clients Okta, que les attaquants pouvaient ensuite utiliser pour apporter des modifications aux comptes clients, telles que l'ajout ou la modification d'utilisateurs autorisés.

Dans ses premiers rapports d'incident sur la violation, Okta dit les pirates ont obtenu un accès non autorisé aux fichiers du système de support client d'Okta associés à 134 clients Okta, soit moins de 1% de la clientèle d'Okta.

Mais dans une déclaration mise à jour publié tôt ce matin, Okta a déclaré avoir déterminé que les intrus avaient également volé les noms et adresses e-mail de tous les utilisateurs du système de support client Okta.

“Tous les clients d'Okta Workforce Identity Cloud (WIC) et Customer Identity Solution (CIS) sont concernés, à l'exception des clients de nos environnements FedRAMP High et DoD IL4 (ces environnements utilisent un système de support distinct AUQUEL l'auteur de la menace n'a PAS accès)”, indique l'avis d'Okta. “Le système de gestion des cas de soutien Auth0/CIC n'a pas non plus été touché par cet incident.”

Okta a déclaré que pour près de 97% des utilisateurs, les seules informations de contact exposées étaient le nom complet et l'adresse e-mail. Cela signifie qu'environ trois pour cent des comptes d'assistance client Okta avaient un ou plusieurs des champs de données suivants exposés (en plus de l'adresse e-mail et du nom): dernière connexion; nom d'utilisateur; numéro de téléphone; identifiant de fédération SAML; nom de l'entreprise; rôle professionnel; type d'utilisateur; date du dernier changement ou réinitialisation du mot de passe.

Okta note qu'un grand nombre de comptes exposés appartiennent à des administrateurs Okta — des informaticiens chargés d'intégrer la technologie d'authentification d'Okta dans les environnements clients — et que ces personnes doivent se méfier des attaques de phishing ciblées.

” De nombreux utilisateurs du système de support client sont des administrateurs Okta", a souligné Okta. “Il est essentiel que ces utilisateurs disposent d'une authentification multifacteur (MFA) pour protéger non seulement le système d'assistance client, mais également pour sécuriser l'accès à leur(s) console (s) d'administration Okta.”

Bien qu'il puisse sembler complètement dingue que certaines entreprises autorisent leur personnel informatique à exploiter des systèmes d'authentification à l'échelle de l'entreprise à l'aide d'un compte administrateur Okta qui n'est pas protégé par MFA, Okta a déclaré six pour cent de ses clients (plus de 1 000) persistent dans cette pratique dangereuse.

Dans une divulgation précédente sur nov. 3, Okta a imputé l'intrusion à un employé qui avait enregistré les informations d'identification d'un compte de service dans l'infrastructure d'assistance client d'Okta sur son compte Google personnel, et a déclaré qu'il était probable que ces informations d'identification aient été volées lorsque l'appareil personnel de l'employé utilisant le même compte Google a été compromis.

Contrairement aux comptes d'utilisateurs standard, auxquels les humains accèdent, les comptes de service sont principalement réservés à l'automatisation des fonctions de machine à machine, telles que l'exécution de sauvegardes de données ou d'analyses antivirus toutes les nuits à une heure donnée. Pour cette raison, ils ne peuvent pas être verrouillés avec une authentification multifacteur comme le peuvent les comptes d'utilisateurs.

Dan Goodin chez Ars Technica estime cela explique pourquoi l'authentification multifacteur n'a pas été configurée sur le compte de service Okta compromis. Mais comme il le souligne à juste titre, si une transgression commise par un seul employé viole votre réseau, vous le faites mal.

"Okta aurait dû mettre en place des contrôles d'accès en plus d'un simple mot de passe pour limiter qui ou quoi pouvait se connecter au compte de service”, a écrit Goodin en novembre. 4. "Une façon de le faire est de mettre une limite ou des conditions sur les adresses IP qui peuvent se connecter. Une autre consiste à alterner régulièrement les jetons d'accès utilisés pour s'authentifier auprès des comptes de service. Et, bien sûr, il aurait dû être impossible pour les employés d'être connectés à des comptes personnels sur une machine de travail. Ces précautions et d'autres sont de la responsabilité des personnes âgées au sein d'Okta.”

Goodin a suggéré que les personnes qui souhaitent approfondir diverses approches pour sécuriser les comptes de service devraient lire ce fil sur Mastodonte.

” Un bon nombre des contributions proviennent de professionnels de la sécurité ayant une vaste expérience de travail dans des environnements cloud sensibles", a écrit Goodin.



>>Plus