Okta, une entreprise qui fournit des outils d’identité tels que l’authentification multifacteur et l’authentification unique à des milliers d’entreprises, a subi une faille de sécurité impliquant une compromission de son unité de support client, a appris KrebsOnSecurity. Okta affirme que l’incident a touché un « très petit nombre » de clients, mais il semble que les pirates informatiques responsables aient eu accès à la plateforme d’assistance d’Okta pendant au moins deux semaines avant que l’entreprise ne maîtrise complètement l’intrusion.
Dans un avis envoyé à un nombre non divulgué de clients le 19 octobre, Okta a déclaré avoir « identifié une activité contradictoire qui exploitait l’accès à un identifiant volé pour accéder au système de gestion des dossiers d’assistance d’Okta. L’acteur malveillant a pu visualiser les fichiers téléchargés par certains clients Okta dans le cadre de récents cas d’assistance.
Okta a expliqué que lorsqu’il résout des problèmes avec les clients, il demande souvent un enregistrement d’une session de navigateur Web (c’est-à-dire une archive HTTP ou HAR déposer). Il s’agit de fichiers sensibles car ils peuvent inclure les cookies et les jetons de session du client, que les intrus peuvent ensuite utiliser pour usurper l’identité d’utilisateurs valides.
« Okta a travaillé avec les clients concernés pour enquêter et a pris des mesures pour protéger nos clients, notamment la révocation des jetons de session intégrés », poursuit leur avis. « En général, Okta recommande de nettoyer toutes les informations d’identification et tous les cookies/jetons de session dans un fichier HAR avant de le partager. »
La société de sécurité Au-delà de la confiance fait partie des clients Okta qui ont reçu l’alerte d’Okta jeudi. Directeur de la technologie de BeyondTrust Marc Maiffret a déclaré que cette alerte était survenue plus de deux semaines après que son entreprise ait alerté Okta d’un problème potentiel.
Maiffret a souligné que BeyondTrust avait détecté l’attaque au début du mois au moment même où elle se produisait et qu’aucun de ses propres clients n’avait été affecté. Il a déclaré que le 2 octobre, l’équipe de sécurité de BeyondTrust a détecté que quelqu’un essayait d’utiliser un compte Okta attribué à l’un de ses ingénieurs pour créer un compte administrateur tout-puissant au sein de son environnement Okta.
Lorsque BeyondTrust a examiné l’activité du compte de l’employé qui a tenté de créer le nouveau profil administratif, ils ont constaté que, à peine 30 minutes avant l’activité non autorisée, l’un de ses ingénieurs de support partageait avec Okta l’un de ces fichiers HAR contenant une session Okta valide. jeton, dit Maiffret.
« Notre administrateur a envoyé ça [HAR file] à la demande d’Okta, et 30 minutes plus tard, l’attaquant a commencé à pirater la session, a essayé de rejouer la session du navigateur et d’exploiter le cookie dans l’enregistrement de cet utilisateur pour agir au nom de cet utilisateur », a-t-il déclaré.
Maiffret a déclaré que BeyondTrust avait effectué un suivi auprès d’Okta le 3 octobre et s’était dit assez confiant qu’Okta avait subi une intrusion, et qu’il avait réitéré cette conclusion lors d’un appel téléphonique avec Okta le 11 octobre et de nouveau le 13 octobre.
Dans une interview avec KrebsOnSecurity, directeur adjoint de la sécurité de l’information d’Okta Charlotte Wylie a déclaré qu’Okta pensait initialement que l’alerte de BeyondTrust du 2 octobre n’était pas le résultat d’une violation de ses systèmes. Mais elle a déclaré que le 17 octobre, la société avait identifié et contenu l’incident, en désactivant le compte de gestion des dossiers clients compromis et en invalidant les jetons d’accès Okta associés à ce compte.
Wylie a refusé de dire exactement combien de clients ont reçu des alertes concernant un problème de sécurité potentiel, mais l’a qualifié de « très, très petit sous-ensemble » de ses plus de 18 000 clients.
La divulgation d’Okta intervient quelques semaines seulement après celle des géants des casinos. Divertissement de César et MGM Resorts ont été piratés. Dans les deux cas, les attaquants ont réussi à impliquer les employés dans des manipulations sociales. réinitialisation des exigences de connexion multifacteur pour les comptes d’administrateur Okta.
En mars 2022, Okta a révélé une faille du groupe de piratage informatique. LAPSUS$, spécialisée dans l’ingénierie sociale des salariés d’entreprises ciblées. Un rapport après action d’Okta sur cet incident, il a été découvert que LAPSUS$ avait été victime d’ingénierie sociale sur le poste de travail d’un ingénieur de support chez Sitel, une société d’externalisation tierce ayant accès aux ressources Okta.
Wylie d’Okta a refusé de répondre aux questions sur la durée pendant laquelle l’intrus a pu accéder au compte de gestion de cas de l’entreprise, ou sur qui aurait pu être responsable de l’attaque. Cependant, elle a déclaré que l’entreprise pensait qu’il s’agissait d’un adversaire qu’elle avait déjà rencontré.
« Il s’agit d’un acteur malveillant connu qui, selon nous, nous a ciblé, ainsi que les clients spécifiques d’Okta », a déclaré Wylie.
Mise à jour, 14 h 57 HE : Okta a publié un article de blog à propos de cet incident qui comprend certains « indicateurs de compromission » que les clients peuvent utiliser pour voir s’ils ont été affectés. Mais l’entreprise a souligné que « tous les clients concernés par cette mesure ont été informés. Si vous êtes un client Okta et que vous n’avez pas été contacté avec un autre message ou méthode, cela n’a aucun impact sur votre environnement Okta ou vos tickets d’assistance.
Mise à jour, 15 h 36 HE : BeyondTrust a a publié un article de blog sur leurs découvertes.
Mise à jour, 24 octobre, 10 h 20 HE : 1Mot de passe et Flare nuageuse ont divulgué des compromissions sur leurs plates-formes d’authentification Okta à la suite de la violation d’Okta. Les deux sociétés affirment qu’une enquête a déterminé qu’aucune information ou système client n’a été affecté. Pendant ce temps, un porte-parole d’Okta a déclaré TechCrunch que la société a notifié environ 1 % de sa clientèle (environ 170 clients), nous verrons donc probablement davantage de telles divulgations dans les jours et les semaines à venir.
