Okta diz que os hackers que invadiram seu sistema de gerenciamento de casos de suporte roubaram nomes e endereços de e-mail de todos os usuários do sistema de suporte ao cliente, uma admissão que amplia significativamente o impacto do incidente de outubro.
A Okta alegou originalmente que apenas 134 clientes (menos de 1% de sua base de clientes) foram afetados, mas em uma nova atualização publicada na quarta-feira, o chefe de segurança da Okta, David Bradbury, disse que o ator da ameaça sequestrou dados de todos os Workforce Identity Cloud (WIC) e Customer Identity Solution. (CIS), exceto aqueles em ambientes específicos de nível governamental.
“Determinamos que o autor da ameaça executou e baixou um relatório que continha os nomes e endereços de e-mail de todos os usuários do sistema de suporte ao cliente Okta. Todos os clientes do Okta Workforce Identity Cloud (WIC) e do Customer Identity Solution (CIS) são afetados, exceto os clientes em nossos ambientes FedRamp High e DoD IL4 (esses ambientes usam um sistema de suporte separado NÃO acessado pelo agente da ameaça).
O sistema de gerenciamento de casos de suporte Auth0/CIC também não foi afetado por este incidente.”
Bradbury disse que o agente da ameaça executou um relatório em 28 de setembro de 2023 às 15h06 UTC que continha vários campos para cada usuário no sistema de suporte ao cliente da Okta, mas a investigação da empresa descobriu que a maioria dos campos do relatório estão em branco e o relatório não não incluem credenciais de usuário ou dados pessoais confidenciais.
“Para 99,6% dos usuários do relatório, as únicas informações de contato registradas são nome completo e endereço de e-mail”, disse Bradbury.
O diretor de segurança da Okta disse que a empresa não tem evidências de que essas informações estejam sendo exploradas ativamente, mas alertou que o ator não identificado da ameaça pode usar essas informações para atingir clientes da Okta por meio de ataques de phishing ou engenharia social.
“Os clientes Okta fazem login no sistema de suporte ao cliente da Okta com as mesmas contas que usam em sua própria organização Okta. Muitos usuários do sistema de suporte ao cliente são administradores do Okta. É fundamental que esses usuários tenham autenticação multifator (MFA) inscrita para proteger não apenas o sistema de suporte ao cliente, mas também para proteger o acesso ao(s) console(s) de administração Okta”, acrescentou Bradbury.
No início deste mês, Okta culpou um funcionário que fez login em uma conta pessoal do Google em um laptop gerenciado pela empresa pelo hack, expondo credenciais que levaram a ataques direcionados contra várias empresas terceirizadas.
A Okta se viu na mira de vários grupos de hackers que visam sua infraestrutura para invadir organizações terceirizadas. Em setembro, Okta disse que um sofisticado grupo de hackers tinha como alvo o pessoal do service desk de TI em um esforço para convencê-los a redefinir a autenticação multifator (MFA) para usuários de alto privilégio dentro da organização visada.
Nesse ataque, Okta disse que os hackers usaram novos métodos de movimento lateral e evasão de defesa, mas não compartilhou nenhuma informação sobre o próprio ator da ameaça ou seu objetivo final. Não está claro se está relacionado, mas no ano passado muitos clientes da Okta foram alvo de uma campanha de crimes cibernéticos com motivação financeira chamada 0ktapus.
Com informações de Cibersegurança Notícias e Ciberseg.
