Okta affirme que les attaquants qui ont violé son système de support client le mois dernier ont eu accès aux fichiers appartenant à 134 clients, cinq d’entre eux ayant ensuite été ciblés dans des attaques de piratage de session à l’aide de jetons de session volés.
« Du 28 septembre 2023 au 17 octobre 2023, un acteur malveillant a obtenu un accès non autorisé aux fichiers du système de support client d’Okta associés à 134 clients Okta, soit moins de 1 % des clients Okta, » Okta révélé.
« Certains de ces fichiers étaient des fichiers HAR contenant des jetons de session qui pourraient à leur tour être utilisés pour des attaques de piratage de session. L’acteur malveillant a pu utiliser ces jetons de session pour détourner les sessions Okta légitimes de 5 clients, dont 3 ont partagé les leurs. réponse à cet événement.
Les trois clients d’Okta qui ont déjà révélé qu’ils étaient ciblés en raison de la faille de sécurité de l’entreprise en octobre sont 1Password, BeyondTrust et Cloudflare. Ils ont tous informé Okta d’une activité suspecte après avoir détecté des tentatives non autorisées de connexion aux comptes d’administrateur internes d’Okta.
Bien qu’il ait été alerté de tentatives de piratage de session le 29 septembre, Okta a mis plus de deux semaines pour confirmer officiellement la faille dans son système d’assistance après plusieurs réunions avec les trois clients concernés.
Pour pirater le système d’assistance d’Okta, les acteurs malveillants ont utilisé les informations d’identification d’un compte de service d’assistance volées sur le compte Google personnel d’un employé après s’être connecté à son profil Google personnel tout en utilisant un ordinateur portable géré par Okta.
Bien qu’Okta n’ait pas expliqué comment les attaquants ont volé les informations d’identification du compte de service, la société a déclaré que « le moyen le plus probable d’exposer ces informations d’identification est la compromission du compte Google personnel ou de l’appareil personnel de l’employé ».
En réponse à cette violation, Okta a pris plusieurs mesures pour éviter des incidents similaires à l’avenir, notamment en désactivant le compte de service compromis, en bloquant l’utilisation de profils Google personnels avec Google Chrome sur les appareils gérés par Okta, en déployant des règles de détection et de surveillance supplémentaires pour ses clients. système de support et liaison des jetons de session d’administrateur Okta en fonction de l’emplacement réseau.
Plusieurs succès au cours des deux dernières années
Plus tôt cette semaine, Okta a averti près de 5 000 employés actuels et anciens que leurs informations personnelles avaient été exposées après la violation de son fournisseur de couverture santé, Rightway Healthcare, le 23 septembre.
Les informations sensibles exposées dans cette violation par un tiers comprennent les noms complets des employés, leurs numéros de sécurité sociale (SSN) et leurs numéros de régime de santé ou d’assurance médicale.
Au cours des deux dernières années, Okta a connu plusieurs autres violations dues au vol d’identifiants et à des attaques d’ingénierie sociale.
En décembre 2022, Okta a reconnu une faille de sécurité au cours de laquelle des pirates ont accédé à des informations confidentielles sur le code source stockées dans ses référentiels privés GitHub.
Le groupe d’extorsion Lapsus$ avait déjà revendiqué un piratage similaire en mars 2022, un incident vérifié plus tard par Okta. La violation a touché environ 2,5 % de la clientèle de l’entreprise.
Auth0, filiale d’Okta, a également révélé que le contenu de certains anciens référentiels de codes sources avait été volé par des attaquants inconnus en utilisant une méthode inconnue.
