Hackers robaron tokens de acceso del área de soporte de Okta

 (krebsonsecurity.com)
1 puntos por GN⁺ 2023-10-22 | 1 comentarios | Compartir por WhatsApp
  • Okta, la empresa que ofrece herramientas de identidad como autenticación multifactor e inicio de sesión único, sufrió un incidente de seguridad relacionado con su área de soporte al cliente.
  • Aunque este incidente afectó a un número "muy pequeño" de clientes, los hackers pudieron acceder a la plataforma de soporte de Okta durante al menos dos semanas antes de que la intrusión fuera contenida por completo.
  • Los hackers accedieron a credenciales robadas y entraron al sistema de gestión de casos de soporte de Okta, lo que les permitió ver archivos que los clientes de Okta habían subido como parte de casos de soporte recientes.
  • Okta suele pedir a los clientes archivos HTTP Archive (HAR) para resolver problemas. Estos archivos pueden incluir información sensible como cookies y tokens de sesión, que los hackers pueden usar para hacerse pasar por usuarios válidos.
  • Okta tomó medidas para proteger a los clientes, incluida la revocación de tokens de sesión integrados, y recomienda depurar todas las credenciales y cookies/tokens de sesión antes de compartir archivos HAR.
  • BeyondTrust, cliente de Okta, alertó a Okta sobre un posible problema dos semanas antes de que Okta publicara el aviso. BeyondTrust detectó un intento de crear una cuenta de administrador dentro de su entorno de Okta usando una cuenta de Okta asignada a uno de sus ingenieros.
  • Al principio, Okta no creyó que la alerta de BeyondTrust se debiera a una intrusión en sus propios sistemas, pero para el 17 de octubre ya había identificado y bloqueado el incidente.
  • Charlotte Wylie, subdirectora de seguridad de la información de Okta, no precisó cuántos clientes recibieron advertencias sobre un posible problema de seguridad, pero lo describió como una porción "muy, muy pequeña" de sus más de 18,000 clientes.
  • Este incidente ocurrió después de los recientes hackeos contra los gigantes de casinos Caesar’s Entertainment y MGM Resorts, en los que los atacantes lograron restablecer los requisitos de inicio de sesión multifactor de cuentas administradoras de Okta.
  • Okta cree que el adversario detrás de esta intrusión es un actor de amenazas conocido que ya había atacado antes a Okta y a sus clientes.
  • Okta publicó una entrada de blog sobre el incidente, que incluye "indicadores de compromiso" para que los clientes puedan comprobar si fueron afectados. La empresa asegura haber notificado a todos los clientes impactados.

Lecturas relacionadas

1 comentarios

 
GN⁺ 2023-10-22
Opiniones de Hacker News
  • La empresa de ciberseguridad Okta recibió una alerta de BeyondTrust sobre actividad sospechosa, pero al principio no encontró evidencia de una intrusión.
  • Okta solo confirmó y bloqueó la intrusión después de las insistentes afirmaciones de BeyondTrust.
  • La publicación de Okta sobre el incidente no mencionó la alerta de un tercero, lo que generó preocupaciones sobre la transparencia.
  • Charlotte Wylie, subdirectora de seguridad de la información de Okta, confirmó que la empresa inicialmente ignoró la advertencia de BeyondTrust, pero después verificó la intrusión.
  • Se ha criticado la demora en reconocer y responder a la intrusión, especialmente considerando el papel de Okta como especialista en ciberseguridad y autenticación.
  • Algunos comentarios sugieren que guardianes críticos como SSO, OAuth, SAML y 2FA deberían operarse on-premise en lugar de depender de soluciones SaaS como Okta.
  • Existe una expectativa general de que los proveedores de identidad, los administradores de contraseñas y las empresas de VPN nunca deberían ser hackeados debido a su función de seguridad.
  • Algunos usuarios expresan preocupación por la decisión de Okta de subcontratar a su personal de soporte, mencionando los posibles riesgos de seguridad que esto implica.
  • Hay opiniones divididas sobre la adquisición de Auth0, competidor de Okta, y algunos usuarios expresan inquietud por la centralización de los proveedores de identidad/autenticación.
  • Algunos usuarios están buscando recomendaciones de proveedores centralizados de identidad/autenticación que sean confiables.