O provedor de gerenciamento de identidade e autenticação, Okta, revelou na sexta-feira que a recente violação no sistema de gerenciamento de casos de suporte afetou 134 de seus 18.400 clientes.
A empresa ainda observou que o invasor não autorizado teve acesso aos seus sistemas de 28 de setembro a 17 de outubro de 2023, e acabou acessando arquivos HAR que contém tokens de sessão que podem ser usados para ataques de sequestro de sessão.
"O ator da ameaça conseguiu usar esses tokens de sessão para sequestrar as sessões legítimas da Okta de 5 clientes", disse o Chefe de Segurança da Okta, David Bradbury.
Entre os afetados estão a 1Password, a BeyondTrust e a Cloudflare.
A 1Password foi a primeira empresa a relatar atividade suspeita em 29 de setembro.
Outros dois clientes não identificados foram identificados em 12 e 18 de outubro.
A Okta revelou formalmente o evento de segurança em 20 de outubro, afirmando que o ator da ameaça usou acesso à uma credencial roubada para entrar no sistema de gerenciamento de casos de suporte da Okta.
Agora, a empresa compartilhou mais detalhes sobre como isso aconteceu.
Ela informou que o acesso ao sistema de suporte ao cliente da Okta abusou de uma conta de serviço armazenada no próprio sistema, que tinha privilégios para visualizar e atualizar casos de suporte ao cliente.
Investigações adicionais revelaram que o nome de usuário e a senha da conta de serviço foram armazenados na conta pessoal do Google de um empregado e que o indivíduo tinha feito login em sua conta pessoal no navegador Chrome do laptop gerenciado pela Okta.
"A exposição desta credencial provavelmente se deu pela invasão da conta pessoal do Google do funcionário ou do seu dispositivo pessoal", disse Bradbury.
A Okta, desde então, revogou os tokens de sessão incorporados nos arquivos HAR compartilhados pelos clientes afetados e desativou a conta de serviço comprometida.
Também bloqueou o uso de perfis pessoais do Google nas versões empresariais do Google Chrome, impedindo que seus funcionários façam login em suas contas pessoais em laptops gerenciados pela Okta.
"A Okta implementou uma limitação de token de sessão com base na localização de rede como um aprimoramento de produto para combater a ameaça de roubo de tokens de sessão contra administradores da Okta", disse Bradbury.
"Os administradores da Okta agora são forçados a reautenticar se detectarmos uma mudança de rede.
Este recurso pode ser ativado pelos clientes na seção de acesso antecipado do portal de administração da Okta."
A novidade acontece dias depois que a Okta revelou que informações pessoais pertencentes a 4.961 funcionários atuais e ex-funcionários foram expostas após uma invasão no fornecedor de cobertura de saúde, Rightway Healthcare, ocorrida em 23 de setembro de 2023.
Dados comprometidos incluíam nomes, números de segurança social e planos de seguro de saúde ou médico.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...