O provedor de serviços de identidade Okta divulgou que detectou "atividade adicional de ator de ameaça" em conexão com a violação de seu sistema de gerenciamento de casos de suporte em outubro de 2023.
"O ator da ameaça baixou os nomes e endereços de e-mail de todos os usuários do sistema de suporte ao cliente da Okta", disse a empresa em uma declaração compartilhada com o The Hacker News.
"Todos os clientes da Okta Workforce Identity Cloud (WIC) e Customer Identity Solution (CIS) são impactados, exceto os clientes em nossos ambientes FedRamp High e DoD IL4 (esses ambientes usam um sistema de suporte separado NÃO acessado pelo ator da ameaça).
O sistema de gerenciamento de casos de suporte Auth0/CIC não foi impactado por esse incidente."
A notícia do escopo ampliado da violação foi relatada primeiro pela Bloomberg.
A empresa também disse à publicação que, embora não tenha evidências de que as informações roubadas estejam sendo usadas ativamente, deu o passo de notificar todos os clientes sobre possíveis riscos de phishing e engenharia social.
Também afirmou que "implementou novos recursos de segurança em nossas plataformas e forneceu aos clientes recomendações específicas para se defenderem contra possíveis ataques direcionados a seus administradores Okta".
A Okta, que contou com a ajuda de uma empresa de forense digital para apoiar sua investigação, disse ainda que "também notificará os indivíduos cujas informações foram baixadas".
A notícia surge mais de três semanas depois que o provedor de gerenciamento de identidade e autenticação disse que a violação, que ocorreu entre 28 de setembro a 17 de outubro de 2023, afetou 1% - ou seja, 134 - de seus 18.400 clientes.
A identidade dos atores de ameaça por trás do ataque aos sistemas da Okta atualmente não é conhecida, embora um notório grupo de crime cibernético chamado Scattered Spider tenha direcionado a empresa tão recentemente quanto agosto de 2023 para obter permissões de administrador elevadas por meio de sofisticados ataques de engenharia social.
De acordo com um relatório publicado pela ReliaQuest na semana passada, o Scattered Spider infiltrou-se numa empresa sem nome e ganhou acesso à conta de um administrador de TI via Okta single sign-on (SSO), seguido de uma movimentação lateral do provedor de identidade-como-serviço (IDaaS) para seus ativos locais em menos de uma hora.
O adversário formidável e ágil, nos últimos meses, também evoluiu para um afiliado da operação de ransomware BlackCat, infiltrando ambientes na nuvem e locais para implantar malware de criptografia de arquivos para gerar lucros ilícitos.
"A atividade contínua do grupo é um testemunho das capacidades de um ator ou grupo de ameaças altamente qualificado que tem uma compreensão intrincada de ambientes na nuvem e locais, permitindo que eles naveguem com sofisticação", disse o pesquisador da ReliaQuest, James Xiang.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...