Sicurezza Informatica
Okta violata, rubati token di accesso dal sistema di supporto
Okta, fornitore leader di strumenti di identità, ha subito una violazione di sicurezza. Gli hacker hanno compromesso l’unità di supporto al cliente, rubando token di sessione.
Okta, un’azienda leader nella fornitura di strumenti di identità come l’autenticazione multi-fattore e il single sign-on a migliaia di aziende, ha subito una violazione di sicurezza. Gli hacker hanno compromesso l’unità di supporto al cliente di Okta, ottenendo l’accesso ai token di sessione.
Dettagli della violazione
Gli aggressori sono riusciti a visualizzare i file caricati da alcuni clienti di Okta come parte dei recenti casi di supporto. Quando Okta risolve problemi con i clienti, spesso richiede una registrazione di una sessione del browser (file HAR). Questi file sono sensibili poiché contengono cookie e token di sessione del cliente, che gli intrusi possono utilizzare per impersonare utenti validi. Okta ha collaborato con i clienti colpiti per indagare e ha revocato i token di sessione incorporati.
Risposta di BeyondTrust
BeyondTrust, una società di gestione dell’identità, ha rilevato e bloccato un tentativo di accesso al proprio account amministratore di Okta il 2 ottobre, utilizzando un cookie rubato dal sistema di supporto di Okta. Hanno contattato Okta fornendo dati forensici che indicavano una compromissione nel loro sistema di supporto. Tuttavia, Okta ha impiegato oltre due settimane per confermare la violazione.
Cloudflare colpita
Cloudflare ha scoperto attività malevole legate alla violazione di Okta sui propri server il 18 ottobre 2023. Gli aggressori hanno sfruttato un token di autenticazione rubato dal sistema di supporto di Okta per accedere all’istanza di Okta di Cloudflare con privilegi amministrativi. Cloudflare ha contattato Okta riguardo all’incidente 24 ore prima che venissero avvisati della violazione che ha colpito i sistemi di Okta.
Incidenti di sicurezza precedenti
L’anno scorso, Okta ha rivelato che alcuni dati dei suoi clienti erano stati esposti dopo che il gruppo di estorsione dei dati Lapsus$ aveva ottenuto accesso alle sue console amministrative nel gennaio 2022. Inoltre, Okta aveva rivelato un furto del proprio codice sorgente a dicembre, dopo che i suoi repository privati su GitHub erano stati violati.