Roubo de credenciais do sistema de suporte da Okta, expõe dados de clientes a atacantes
Recentemente, a provedora de serviços de identidade, Okta, revelou uma nova vulnerabilidade de segurança que permitiu a atores de ameaça não identificados usar credenciais roubadas para acessar seu sistema de gerenciamento de casos de suporte. De acordo com David Bradbury, o diretor de segurança da Okta, "O ator de ameaça conseguiu visualizar arquivos enviados por determinados clientes da Okta como parte de casos de suporte recentes. Deve-se notar que o sistema de gerenciamento de casos de suporte da Okta é separado do serviço Okta em produção, que está totalmente operacional e não foi afetado."
A empresa também enfatizou que o sistema de gerenciamento de casos Auth0/CIC não foi afetado pela violação, observando que notificou diretamente os clientes afetados.
No entanto, a Okta alertou que o sistema de suporte ao cliente também é usado para enviar arquivos HTTP Archive (HAR) a fim de replicar erros de usuário ou administrador para fins de solução de problemas. Estes arquivos HAR podem conter dados sensíveis, incluindo cookies e tokens de sessão que atores maliciosos podem usar para se passar por usuários válidos.
A empresa informou que trabalhou com os clientes afetados para garantir que os tokens de sessão embutidos fossem revogados para evitar abusos. No entanto, a Okta não divulgou a escala do ataque, quando ocorreu o incidente e quando detectou o acesso não autorizado. Em março de 2023, a Okta tinha mais de 17.000 clientes e gerenciava cerca de 50 bilhões de usuários.
Apesar disso, as empresas BeyondTrust e Cloudflare estão entre as duas que confirmaram que foram alvo do mais recente ataque ao sistema de suporte.
A Cloudflare relatou que o ator de ameaça conseguiu se apossar de um token de sessão de um tíquete de suporte criado por um funcionário da Cloudflare. Usando o token extraído da Okta, o ator de ameaça acessou sistemas da Cloudflare em 18 de outubro. A empresa descreveu o ataque como sofisticado, revelando que o ator de ameaça comprometeu duas contas separadas de funcionários da Cloudflare na plataforma Okta. A Cloudflare destacou que nenhuma informação ou sistema do cliente foi acessado como resultado do incidente.
A BeyondTrust informou à Okta sobre a violação em 2 de outubro de 2023, mas o ataque à Cloudflare sugere que o adversário teve acesso aos sistemas de suporte pelo menos até 18 de outubro de 2023.
A empresa de serviços de gerenciamento de identidade afirmou que seu administrador da Okta enviou um arquivo HAR para o sistema em 2 de outubro para resolver um problema de suporte, e que detectou atividade suspeita envolvendo o cookie de sessão dentro de 30 minutos após o compartilhamento do arquivo. As tentativas de ataque contra a BeyondTrust foram finalmente mal sucedidas.
A Okta é uma empresa que se tornou um alvo de alto valor para grupos de hackers, devido ao fato de seus serviços de login único (SSO) serem usados por algumas das maiores empresas do mundo. Esta é a mais recente de uma série de falhas de segurança que a Okta enfrentou nos últimos anos.
Esse incidente ressalta a necessidade contínua de empresas investirem na avaliação proativa de riscos e na manutenção de processos de segurança robustos para proteger seus sistemas e dados.
Quer amadurecer seu programa de segurança cibernética através do gerenciamento de vulnerabilidades? Conheça a EcoTrust, a #1 plataforma SaaS de Inteligência em Riscos Cibernéticos, que através da identificação e priorização de riscos cibernéticos críticos para o negócio, ajuda empresas a serem mais resilientes a ataques cibernéticos. Agende uma demo aqui