Mise à jour du 20 octobre à 16 h 15 HAE : ajout des détails de l’incident BeyondTrust.
Okta affirme que les attaquants ont accédé à des fichiers contenant des cookies et des jetons de session téléchargés par les clients sur son système de gestion de support après l’avoir violé à l’aide d’informations d’identification volées.
« L’acteur malveillant a pu visualiser les fichiers téléchargés par certains clients Okta dans le cadre de récents cas de support », dit David Bradbury, responsable de la sécurité d’Okta.
« Il convient de noter que le système de gestion des dossiers d’assistance Okta est distinct du service de production Okta, qui est pleinement opérationnel et n’a pas été impacté. »
Le CSO d’Okta a ajouté que cet incident n’a pas eu d’impact sur le système de gestion des dossiers Auth0/CIC. Okta a informé tous les clients dont l’environnement Okta ou les tickets d’assistance ont été affectés par l’incident. Ceux qui n’ont pas reçu d’alerte ne sont pas concernés.
Un porte-parole d’Okta n’a pas répondu aux questions concernant la date de la violation et le nombre de clients concernés lorsque BleepingComputer l’a contacté plus tôt dans la journée.
Au lieu de cela, le porte-parole a déclaré que le système de support « est distinct du service de production Okta, qui est pleinement opérationnel et n’a pas été impacté. Nous avons informé les clients concernés et pris des mesures pour protéger tous nos clients ».
Bien que l’entreprise n’ait pas encore fourni de détails sur les informations client exposées ou consultées lors de la violation, le système de gestion des dossiers d’assistance piraté lors de cette attaque a également été utilisé pour stocker des fichiers HTTP Archive (HAR) utilisés pour répliquer les erreurs des utilisateurs ou des administrateurs afin de résoudre divers problèmes. problèmes signalés par les utilisateurs.
Ils contiennent également des données sensibles, telles que des cookies et des jetons de session, que les acteurs malveillants pourraient utiliser pour pirater les comptes clients.
« Les fichiers HAR représentent un enregistrement de l’activité du navigateur et contiennent éventuellement des données sensibles, notamment le contenu des pages visitées, les en-têtes, les cookies et d’autres données », Okta explique sur son portail d’assistance.
« Bien que cela permette au personnel d’Okta de reproduire l’activité du navigateur et de résoudre les problèmes, des acteurs malveillants pourraient utiliser ces fichiers pour usurper votre identité. »
L’entreprise a travaillé avec les clients concernés au cours de l’enquête sur l’incident et a révoqué les jetons de session intégrés dans les fichiers HAR partagés. Il conseille désormais à tous les clients de nettoyer leurs fichiers HAR avant de les partager en s’assurant qu’ils n’incluent pas d’informations d’identification ni de cookies/jetons de session.
Okta a également partagé une liste d’indicateurs de compromission observés au cours de l’enquête, notamment les adresses IP et les informations de l’agent utilisateur du navigateur Web liées aux attaquants.
Violation découverte par BeyondTrust après une tentative de brèche
Bien que la déclaration d’Okta manque de détails concernant la date à laquelle l’incident a été détecté et si des jetons de session ou des cookies ont été volés, la gestion des identités BeyondTrust affirme qu’elle était l’un des clients concernés et a fourni des informations supplémentaires sur l’incident.
Les équipes de sécurité de BeyondTrust ont détecté et bloqué une tentative de connexion à un compte administrateur interne d’Okta le 2 octobre à l’aide d’un cookie volé dans le système d’assistance d’Okta.
« Nous avons fait part de nos préoccupations concernant une violation à Okta le 2 octobre. N’ayant reçu aucun accusé de réception d’Okta concernant une possible violation, nous avons persisté dans les escalades au sein d’Okta jusqu’au 19 octobre, lorsque les responsables de la sécurité d’Okta nous ont informés qu’ils avaient effectivement subi une violation et que nous étions l’un de leurs clients concernés, » BeyondTrust a dit.
BeyondTrust affirme que l’attaque a été contrecarrée par des « contrôles de politique personnalisés », mais en raison des « limites du modèle de sécurité d’Okta », l’acteur malveillant a pu effectuer « quelques actions limitées ».
Malgré cela, l’entreprise affirme que l’attaquant n’a eu accès à aucun de ses systèmes et que ses clients n’ont pas été touchés.
BeyondTrust a également partagé la chronologie des attaques suivante :
2 octobre 2023 – Attaque centrée sur l’identité détectée et corrigée sur un compte administrateur Okta interne et alerte Okta 3 octobre 2023 : demande au support technique d’Okta de passer à l’équipe de sécurité d’Okta, étant donné que les analyses initiales indiquent une compromission au sein de l’organisation de support technique d’Okta. 11 octobre 2023 et 13 octobre 2023 : organisation de sessions Zoom avec l’équipe de sécurité d’Okta pour expliquer pourquoi nous pensions qu’ils pourraient être compromis 19 octobre 2023 – Les responsables de la sécurité d’Okta ont confirmé avoir subi une faille interne et BeyondTrust était l’un de leurs clients concernés.
Multiples incidents de sécurité en moins de 2 ans
L’année dernière, Okta a révélé que certaines données de ses clients avaient été exposées après que le groupe d’extorsion de données Lapsus$ ait eu accès à ses consoles d’administration en janvier 2022.
Des mots de passe à usage unique (OTP) transmis aux clients Okta par SMS ont également été volés par le groupe de menace Scatter Swine (alias 0ktapus), qui a piraté la société de communications cloud Twilio en août 2022.
Auth0, le fournisseur de services d’authentification appartenant à Okta, a également révélé en septembre que certains anciens référentiels de codes sources avaient été volés dans son environnement en utilisant une méthode inconnue.
Okta a révélé son propre incident de vol de code source en décembre après le piratage des référentiels GitHub privés de l’entreprise.