A Okta está culpando um funcionário que fez login em uma conta pessoal do Google em um laptop gerenciado pela empresa pelo recente hack em seu sistema de suporte, expondo credenciais que levaram ao roubo de dados de vários clientes da Okta.
Uma breve autópsia do chefe de segurança da Okta, David Bradbury, disse que o lapso interno foi o “caminho mais provável” para a violação que prendeu centenas de clientes da Okta, incluindo as empresas de segurança cibernética BeyondTrust e Cloudflare.
“Podemos confirmar que de 28 de setembro de 2023 a 17 de outubro de 2023, um agente de ameaça obteve acesso não autorizado a arquivos dentro do sistema de suporte ao cliente da Okta associados a 134 clientes da Okta, ou menos de 1% dos clientes da Okta. Alguns desses arquivos eram arquivos HAR que continham tokens de sessão que poderiam, por sua vez, ser usados para ataques de sequestro de sessão”, disse Bradbury em um comunicado. nota que contém um cronograma detalhado do incidente.
Ele disse que o agente da ameaça conseguiu usar esses tokens de sessão para sequestrar as sessões legítimas do Okta de cinco clientes.
Bradbury disse que os hackers aproveitaram uma conta de serviço armazenada no próprio sistema que recebeu permissões para visualizar e atualizar casos de suporte ao cliente.
“Durante nossa investigação sobre o uso suspeito desta conta, a Okta Security identificou que um funcionário havia feito login em seu perfil pessoal do Google no navegador Chrome de seu laptop gerenciado pela Okta. O nome de usuário e a senha da conta de serviço foram salvos na conta pessoal do Google do funcionário”, disse ele.
“O caminho mais provável para a exposição desta credencial é o comprometimento da conta pessoal do Google ou do dispositivo pessoal do funcionário.”
Bradbury confessou a falha dos controles internos em detectar a violação. “Por um período de 14 dias, enquanto investigava ativamente, a Okta não identificou downloads suspeitos em nossos registros. Quando um usuário abre e visualiza arquivos anexados a um caso de suporte, um tipo e ID de evento de log específico é gerado vinculado a esse arquivo. Se, em vez disso, um usuário navegar diretamente para a guia Arquivos no sistema de suporte ao cliente, como o agente da ameaça fez neste ataque, ele gerará um evento de log totalmente diferente com um ID de registro diferente.”
O diretor de segurança da Okta disse que as investigações iniciais de sua equipe se concentraram no acesso a casos de suporte e mais tarde fizeram um grande avanço depois que a BeyondTrust compartilhou um endereço IP suspeito atribuído ao autor da ameaça.
“Com este indicador, identificamos os eventos adicionais de acesso a arquivos associados à conta comprometida”, explicou Bradbury.
A Okta se viu na mira de vários grupos de hackers que visam sua infraestrutura para invadir organizações terceirizadas.
Em setembro, Okta disse que um sofisticado grupo de hackers tinha como alvo o pessoal do service desk de TI em um esforço para convencê-los a redefinir a autenticação multifator (MFA) para usuários de alto privilégio dentro da organização visada.
Nesse ataque, Okta disse que os hackers usaram novos métodos de movimento lateral e evasão de defesa, mas não compartilhou nenhuma informação sobre o próprio ator da ameaça ou seu objetivo final. Não está claro se está relacionado, mas no ano passado muitos clientes da Okta foram alvo de uma campanha de crimes cibernéticos com motivação financeira chamada 0ktapus.