El proveedor de gestión de identidad y autenticación Okta reveló el viernes que su sistema de gestión de casos de soporte afectó a 134 de sus 18.400 clientes.
Además, señaló que el intruso no autorizado obtuvo acceso a sus sistemas del 28 de septiembre al 17 de octubre de 2023 y, en última instancia, accedió a archivos HAR que contenían tokens de sesión que podrían usarse para ataques de secuestro de sesión.
“El actor de amenazas pudo usar estos tokens de sesión para secuestrar las sesiones legítimas de Okta de 5 clientes”, dijo el director de seguridad de Okta, David Bradbury.
Tres de los afectados son 1Password, BeyondTrust y Cloudflare. 1Password fue la primera empresa en reportar actividad sospechosa el 29 de septiembre. Otros dos clientes no identificados fueron identificados el 12 y el 18 de octubre.
Okta reveló formalmente el evento de seguridad el 20 de octubre, afirmando que el actor de amenazas aprovechó el acceso a una credencial robada para acceder al sistema de gestión de casos de soporte de Okta.
Ahora, la compañía ha compartido algunos detalles más de cómo sucedió esto.
Dijo que el acceso al sistema de atención al cliente de Okta abusó de una cuenta de servicio almacenada en el propio sistema, que tenía privilegios para ver y actualizar los casos de atención al cliente.
Una investigación posterior reveló que el nombre de usuario y la contraseña de la cuenta de servicio se habían guardado en la cuenta personal de Google de un empleado y que la persona había iniciado sesión en su cuenta personal en el navegador web Chrome de su computadora portátil administrada por Okta.
“La vía más probable para la exposición de esta credencial es el compromiso de la cuenta personal de Google o el dispositivo personal del empleado”, dijo Bradbury.
Desde entonces, Okta ha revocado los tokens de sesión incrustados en los archivos HAR compartidos por los clientes afectados y ha deshabilitado la cuenta de servicio comprometida.
También ha bloqueado el uso de perfiles personales de Google dentro de las versiones empresariales de Google Chrome, impidiendo que sus empleados inicien sesión en sus cuentas personales en computadoras portátiles administradas por Okta.
“Okta ha lanzado el enlace de tokens de sesión basado en la ubicación de la red como una mejora del producto para combatir la amenaza de robo de tokens de sesión contra los administradores de Okta”, dijo Bradbury.
“Los administradores de Okta ahora se ven obligados a volver a autenticarse si detectamos un cambio en la red. Esta función puede ser habilitada por los clientes en la sección de acceso anticipado del portal de administración de Okta”.
El desarrollo se produce días después de que Okta revelara que la información personal perteneciente a 4,961 empleados actuales y anteriores quedó expuesta después de que su proveedor de cobertura de atención médica, Rightway Healthcare, fuera violado el 23 de septiembre de 2023. Los datos comprometidos incluían nombres, números de Seguro Social y planes de seguro médico o de salud.