Okta Security tuvo que admitir otro ciberataque exitoso a sus sistemas. Sin embargo, esta vez solo se dijo que un pequeño grupo de usuarios se vio afectado y no hubo filtraciones de datos que reportar.
Okta Security informa que identifica actividad adversa que accedió al sistema de gestión de casos de soporte de Okta utilizando credenciales robadas. Según los informes iniciales, se dice que el ataque fue mucho menor que cuando el grupo de hackers Lapsus$ llegó a la red Okta a través del ordenador portátil de un técnico externo en mayo de 2022.
¿Has estado en línea por poco tiempo o por semanas?
Mientras que Octa informa que los atacantes solo tuvieron un acceso breve e inofensivo a la red, el portal Krebs on Security informa que los atacantes tuvo acceso a la plataforma de atención al cliente Octa durante al menos dos semanas, antes de que la empresa se diera cuenta y detuviera el robo.
La propia Okta lo informa de esta manera: “Okta Security ha identificado actividad adversaria que utilizó el acceso a credenciales robadas para acceder al sistema de gestión de casos de soporte de Okta. El actor de amenazas pudo ver archivos cargados por ciertos clientes de Okta como parte de casos de soporte recientes. Cabe señalar que el sistema de gestión de casos de soporte de Okta está separado del servicio de producción de Okta, que es completamente funcional y no se ha visto afectado. Además, el sistema de gestión de casos Auth0/CIC no se ve afectado por este incidente”.
Se notifica a los clientes de Octa afectados
Octa dijo que todos los clientes afectados han sido notificados. Como parte de las operaciones comerciales normales, el soporte de Okta solicita a los clientes que carguen un archivo HTTP (HAR), que permite solucionar problemas al replicar la actividad del navegador. Los archivos HAR también pueden contener datos confidenciales, incluidas cookies y tokens de sesión, que los actores malintencionados pueden utilizar para hacerse pasar por usuarios válidos. Okta ha trabajado con los clientes afectados para investigar y tomar medidas para proteger a los clientes, incluida la suspensión de los tokens de sesión integrados. En general, Okta recomienda desinfectar todas las credenciales y cookies/tokens de sesión en un archivo HAR antes de publicarlo.
Más en Okta.com