Le fournisseur de gestion d’identité et d’authentification Okta a révélé vendredi que la récente violation du système de gestion des cas d’assistance avait affecté 134 de ses 18 400 clients.
Il a en outre noté que l’intrus non autorisé avait accédé à ses systèmes du 28 septembre au 17 octobre 2023 et avait finalement accédé à des fichiers HAR contenant des jetons de session qui pourraient être utilisés pour des attaques de piratage de session.
« L’acteur malveillant a pu utiliser ces jetons de session pour détourner les sessions Okta légitimes de 5 clients », a déclaré David Bradbury, responsable de la sécurité d’Okta. dit.
Trois des personnes concernées incluent 1Password, BeyondTrust et Cloudflare. 1Password a été la première entreprise à signaler une activité suspecte le 29 septembre. Deux autres clients anonymes ont été identifiés les 12 et 18 octobre.
Okta a officiellement révélé le événement de sécurité le 20 octobre, déclarant que l’acteur malveillant avait utilisé l’accès à un identifiant volé pour accéder au système de gestion des dossiers d’assistance d’Okta.
Maintenant, la société a partagé plus de détails sur la façon dont cela s’est produit.
Il a déclaré que l’accès au système de support client d’Okta abusait d’un compte de service stocké dans le système lui-même, qui disposait de privilèges pour afficher et mettre à jour les dossiers de support client.
Une enquête plus approfondie a révélé que le nom d’utilisateur et le mot de passe du compte de service avaient été enregistrés sur le compte Google personnel d’un employé et que l’individu s’était connecté à son compte personnel sur le navigateur Web Chrome de son ordinateur portable géré par Okta.
« La voie la plus probable pour exposer ces informations d’identification est la compromission du compte Google personnel ou de l’appareil personnel de l’employé », a déclaré Bradbury.
Okta a depuis révoqué les jetons de session intégrés dans les fichiers HAR partagés par les clients concernés et désactivé le compte de service compromis.
L’entreprise a également bloqué l’utilisation de profils Google personnels dans les versions professionnelles de Google Chrome, empêchant ainsi ses employés de se connecter à leurs comptes personnels sur des ordinateurs portables gérés par Okta.
« Okta a publié la liaison de jetons de session basée sur l’emplacement réseau en tant qu’amélioration du produit pour lutter contre la menace de vol de jetons de session contre les administrateurs Okta », a déclaré Bradbury.
« Les administrateurs Okta sont désormais obligés de se réauthentifier si nous détectons un changement de réseau. Cette fonctionnalité peut être activée par les clients dans la section d’accès anticipé du portail d’administration Okta. »
Le développement intervient quelques jours après Okta révélé que les informations personnelles appartenant à 4 961 employés actuels et anciens ont été exposées après la violation de son fournisseur de couverture de soins de santé, Rightway Healthcare, le 23 septembre 2023. Les données compromises comprenaient des noms, des numéros de sécurité sociale et des régimes d’assurance maladie ou médicale.