Okta, fornitore leader nella gestione dell’identità e dell’autenticazione, ha rivelato che la recente violazione del suo sistema di gestione dei casi di supporto ha interessato i dati di 134 dei suoi 18.400 clienti. La violazione ha permesso a un intruso non autorizzato di accedere ai sistemi di Okta dal 28 settembre al 17 ottobre 2023, accedendo a file HAR che contenevano token di sessione utilizzabili per attacchi di hijacking delle sessioni.
La risposta di Okta alla violazione
David Bradbury, Chief Security Officer di Okta, ha dichiarato che l’attore minaccioso è stato in grado di utilizzare questi token di sessione per dirottare le sessioni legittime di Okta di 5 clienti con il fine di riuscire nella violazione dei dati. Tra i clienti colpiti ci sono 1Password, BeyondTrust e Cloudflare, con 1Password che ha segnalato per primo un’attività sospetta il 29 settembre. Altri due clienti, non nominati, sono stati identificati il 12 e il 18 ottobre.
Misure adottate da Okta
Okta ha revocato i token di sessione incorporati nei file HAR condivisi dai clienti interessati e ha disabilitato l’account di servizio compromesso. Inoltre, ha bloccato l’uso dei profili Google personali nelle versioni aziendali del browser Google Chrome, impedendo ai suoi dipendenti di accedere ai loro account personali su laptop gestiti da Okta.
Miglioramenti alla sicurezza e prevenzione
Okta ha introdotto il legame dei token di sessione in base alla posizione di rete come miglioramento del prodotto per combattere la minaccia di furto dei token di sessione contro gli amministratori di Okta. Gli amministratori di Okta sono ora costretti a ri-autenticarsi in caso di rilevamento di un cambio di rete. Questa funzione può essere attivata dai clienti nella sezione di accesso anticipato del portale di amministrazione di Okta.