Okta, proveedor de gestión de identidad y autenticación, reveló el viernes que la reciente violación del sistema de gestión de casos de soporte afectó a 134 de sus 18.400 clientes.
Además, señaló que el intruso no autorizado obtuvo acceso a sus sistemas del 28 de septiembre al 17 de octubre de 2023 y, finalmente, accedió a archivos HAR que contenían tokens de sesión que podrían usarse para ataques de secuestro de sesión.
«El actor de amenazas pudo utilizar estos tokens de sesión para secuestrar las sesiones legítimas de Okta de 5 clientes», dijo el director de seguridad de Okta, David Bradbury. dicho.
Tres de los afectados incluyen 1Password, BeyondTrust y Cloudflare. 1Password fue la primera empresa en informar actividad sospechosa el 29 de septiembre. Otros dos clientes anónimos fueron identificados el 12 y 18 de octubre.
Okta reveló formalmente el evento de seguridad el 20 de octubre, indicando que el actor de amenazas aprovechó el acceso a una credencial robada para acceder al sistema de gestión de casos de soporte de Okta.
Ahora, la compañía ha compartido algunos detalles más de cómo sucedió esto.
Dijo que el acceso al sistema de atención al cliente de Okta abusaba de una cuenta de servicio almacenada en el propio sistema, que tenía privilegios para ver y actualizar casos de atención al cliente.
Una investigación más profunda reveló que el nombre de usuario y la contraseña de la cuenta de servicio se habían guardado en la cuenta personal de Google de un empleado y que el individuo había iniciado sesión en su cuenta personal en el navegador web Chrome de su computadora portátil administrada por Okta.
«La vía más probable para la exposición de esta credencial es el compromiso de la cuenta personal de Google o del dispositivo personal del empleado», dijo Bradbury.
Desde entonces, Okta revocó los tokens de sesión integrados en los archivos HAR compartidos por los clientes afectados y deshabilitó la cuenta de servicio comprometida.
También bloqueó el uso de perfiles personales de Google dentro de las versiones empresariales de Google Chrome, impidiendo que sus empleados inicien sesión en sus cuentas personales en computadoras portátiles administradas por Okta.
«Okta ha lanzado el enlace de tokens de sesión basado en la ubicación de la red como una mejora del producto para combatir la amenaza del robo de tokens de sesión contra los administradores de Okta», dijo Bradbury.
«Los administradores de Okta ahora se ven obligados a volver a autenticarse si detectamos un cambio en la red. Los clientes pueden habilitar esta función en la sección de acceso temprano del portal de administración de Okta».
El desarrollo se produce días después de Okta. reveló Esa información personal perteneciente a 4,961 empleados actuales y anteriores quedó expuesta después de que su proveedor de cobertura de atención médica, Rightway Healthcare, fuera violado el 23 de septiembre de 2023. Los datos comprometidos incluían nombres, números de seguro social y planes de seguro médico o de salud.