Proveedor de servicios de identidad Okta ha revelado que detectó «actividad adicional de actores de amenazas» en relación con la violación de octubre de 2023 de su sistema de gestión de casos de soporte.
«El actor de amenazas descargó los nombres y direcciones de correo electrónico de todos los usuarios del sistema de atención al cliente de Okta», dijo la compañía en un comunicado compartido con The Hacker News.
«Todos los clientes de Okta Workforce Identity Cloud (WIC) y Customer Identity Solution (CIS) se ven afectados, excepto los clientes de nuestros entornos FedRamp High y DoD IL4 (estos entornos utilizan un sistema de soporte independiente al que NO accede el actor de amenazas). El soporte Auth0/CIC El sistema de gestión de casos no se vio afectado por este incidente».
La noticia del alcance ampliado de la infracción fue reportado por primera vez por Bloomberg.
La compañía también le dijo a la publicación que, si bien no tiene ninguna evidencia de que la información robada haya sido utilizada de manera indebida, ha tomado la medida de notificar a todos los clientes sobre posibles riesgos de phishing e ingeniería social.
También afirmó que «impulsó nuevas funciones de seguridad en nuestras plataformas y brindó a los clientes recomendaciones específicas para defenderse contra posibles ataques dirigidos contra sus administradores de Okta».
Okta, que ha contado con la ayuda de una empresa forense digital para respaldar su investigación, dijo además que «también notificará a las personas cuya información haya sido descargada».
El hecho se produce más de tres semanas después de que el proveedor de gestión de identidad y autenticación dijera que la violación, que tuvo lugar entre el 28 de septiembre y el 17 de octubre de 2023, afectó al 1% (es decir, 134) de sus 18.400 clientes.
Actualmente se desconoce la identidad de los actores de amenazas detrás del ataque contra los sistemas de Okta, aunque un notorio grupo de cibercrimen llamado Scattered Spider apuntó a la compañía en agosto de 2023 para obtener permisos elevados de administrador mediante la realización de sofisticados ataques de ingeniería social.
Según un informe publicado por ReliaQuest la semana pasada, Scattered Spider se infiltró en una empresa anónima y obtuvo acceso a la cuenta de un administrador de TI a través del inicio de sesión único (SSO) de Okta, seguido de un movimiento lateral desde la identidad como servicio (IDaaS). proveedor a sus activos locales en menos de una hora.
En los últimos meses, el formidable y ágil adversario también se ha convertido en un afiliado de la operación de ransomware BlackCat, infiltrándose en entornos locales y en la nube para implementar malware de cifrado de archivos para generar ganancias ilícitas.
«La actividad continua del grupo es un testimonio de las capacidades de un actor o grupo de amenazas altamente capacitado que tiene una comprensión compleja de los entornos locales y de nube, lo que les permite navegar con sofisticación», dijo el investigador de ReliaQuest, James Xiang. dicho.