Hackers roubaram tokens de acesso da equipe de suporte da Okta

 (krebsonsecurity.com)
1 pontos por GN⁺ 2023-10-22 | 1 comentários | Compartilhar no WhatsApp
  • A Okta, empresa que fornece ferramentas de identidade como autenticação multifator e login único, sofreu um incidente de segurança relacionado à sua equipe de suporte ao cliente.
  • Embora o incidente tenha afetado um número "muito pequeno" de clientes, os hackers conseguiram acessar a plataforma de suporte da Okta por pelo menos duas semanas antes que a invasão fosse totalmente bloqueada.
  • Os hackers acessaram credenciais roubadas e, com isso, entraram no sistema de gerenciamento de casos de suporte da Okta, o que lhes permitiu visualizar arquivos enviados por clientes da Okta como parte de casos de suporte recentes.
  • A Okta frequentemente solicita arquivos HTTP Archive (HAR) dos clientes para resolver problemas. Esses arquivos podem conter informações sensíveis, como cookies e tokens de sessão, e os hackers podem usá-los para se passar por usuários válidos.
  • A Okta tomou medidas para proteger os clientes, incluindo a revogação de tokens de sessão incorporados, e recomenda sanitizar todas as credenciais e cookies/tokens de sessão antes de compartilhar arquivos HAR.
  • A BeyondTrust, cliente da Okta, alertou a Okta sobre um possível problema duas semanas antes de a empresa publicar o aviso. A BeyondTrust detectou uma tentativa de criar uma conta de administrador em seu ambiente Okta usando uma conta Okta atribuída a um de seus engenheiros.
  • Inicialmente, a Okta não acreditou que o alerta da BeyondTrust tivesse relação com uma invasão em seus sistemas, mas até 17 de outubro a empresa identificou e conteve o incidente.
  • Charlotte Wylie, vice-CISO da Okta, não informou quantos clientes receberam alertas sobre o possível problema de segurança, mas descreveu o número como uma parte "muito, muito pequena" de seus mais de 18 mil clientes.
  • Esse incidente ocorreu após os recentes ataques contra os gigantes de cassinos Caesar’s Entertainment e MGM Resorts, nos quais os invasores conseguiram redefinir os requisitos de login com múltiplos fatores para contas administrativas da Okta.
  • A Okta acredita que o responsável por essa invasão é um agente de ameaça conhecido que já havia visado anteriormente a própria Okta e seus clientes.
  • A Okta publicou um post no blog sobre o incidente, incluindo "indicadores de comprometimento" para que os clientes possam verificar se foram afetados. A empresa afirma ter enviado notificações a todos os clientes impactados.

Leituras relacionadas

1 comentários

 
GN⁺ 2023-10-22
Comentários do Hacker News
  • A empresa de cibersegurança Okta foi alertada pela BeyondTrust sobre atividade suspeita, mas inicialmente não encontrou sinais de invasão.
  • A Okta só confirmou e bloqueou a invasão depois das insistências contínuas da BeyondTrust.
  • O post no blog da Okta sobre o incidente não mencionou o alerta de terceiros, o que levantou preocupações sobre transparência.
  • Charlotte Wylie, vice-CISO da Okta, confirmou que a empresa inicialmente ignorou o alerta da BeyondTrust, mas depois verificou a invasão.
  • Houve críticas à demora para reconhecer e responder à invasão, especialmente considerando o papel da Okta como especialista em cibersegurança e autenticação.
  • Alguns comentários sugerem que guardiões críticos como SSO, OAuth, SAML e 2FA deveriam ser operados on-premise, em vez de depender de soluções SaaS como a Okta.
  • Há uma expectativa geral de que provedores de identidade, gerenciadores de senhas e empresas de VPN jamais sejam hackeados por causa de seu papel em segurança.
  • Alguns usuários expressam preocupação com a decisão da Okta de terceirizar sua equipe de suporte, mencionando os potenciais riscos de segurança disso.
  • As opiniões sobre a aquisição da concorrente Auth0 pela Okta são divididas, e alguns usuários demonstram preocupação com a centralização dos provedores de identidade/autenticação.
  • Alguns usuários estão procurando recomendações de provedores centralizados de identidade/autenticação em que se possa confiar.