A empresa de tecnologia de gerenciamento de identidade e acesso Okta alertou na sexta-feira que hackers invadiram seu sistema de gerenciamento de casos de suporte e roubaram dados confidenciais que podem ser usados para se passar por usuários válidos.
Um aviso de segurança do chefe de segurança da Okta, David Bradbury, disse que a empresa encontrou “atividade adversa” que alavancou o acesso a uma credencial roubada para acessar o sistema de gerenciamento de casos de suporte.
“O agente da ameaça conseguiu visualizar arquivos carregados por certos clientes do Okta como parte de casos de suporte recentes”, disse Bradbury, alertando que os dados roubados incluem cookies confidenciais e tokens de sessão para ataques adicionais.
No curso normal dos negócios, o suporte da Okta solicitará aos clientes que carreguem um Arquivo HTTP (HAR) arquivo, que permite solucionar problemas replicando a atividade do navegador. Os arquivos HAR também podem conter dados confidenciais, incluindo cookies e tokens de sessão, que agentes mal-intencionados podem usar para se passar por usuários válidos.
A Okta trabalhou com os clientes afetados para investigar e tomou medidas para proteger nossos clientes, incluindo a revogação de tokens de sessão incorporados. Em geral, Okta recomenda limpar todas as credenciais e cookies/tokens de sessão em um arquivo HAR antes de compartilhá-lo.
Bradbury disse que o sistema de gerenciamento de casos de suporte Okta comprometido é separado do serviço Okta de produção, que não foi afetado e permanece totalmente operacional. Ele disse que o sistema de gerenciamento de casos Auth0/CIC também não foi afetado por este incidente.
A Okta divulgou uma lista de endereços IP suspeitos (a maioria são nós VPN comerciais) e recomendou que os clientes pesquisar registros do sistema para qualquer sessão, usuário ou IP suspeito.
Em um alerta separadoa empresa de segurança BeyondTrust disse que foi alvo de um ataque cibernético relacionado a esta violação do sistema de suporte do Okta.
“O incidente começou quando as equipes de segurança da BeyondTrust detectaram um invasor tentando acessar uma conta interna de administrador do Okta usando um cookie de sessão válido roubado do sistema de suporte do Okta. Os controles de políticas personalizadas bloquearam a atividade inicial do invasor, mas as limitações no modelo de segurança do Okta permitiram que eles executassem algumas ações confinadas”, disse BeyondTrust.
A Okta se viu na mira de vários grupos de hackers que visam sua infraestrutura para invadir organizações terceirizadas.
No mês passado, Okta disse que um sofisticado grupo de hackers tinha como alvo o pessoal do service desk de TI em um esforço para convencê-los a redefinir a autenticação multifator (MFA) para usuários de alto privilégio dentro da organização visada.
Nesse ataque, Okta disse que os hackers usaram novos métodos de movimento lateral e evasão de defesa, mas não compartilhou nenhuma informação sobre o próprio ator da ameaça ou seu objetivo final. Não está claro se isso está relacionado, mas no ano passado muitos clientes da Okta foram alvo de uma campanha de crimes cibernéticos com motivação financeira chamada .