A empresa de identidade e acesso, Okta, revelou que um invasor comprometeu seu sistema de tickets de suporte ao cliente e conseguiu roubar arquivos confidenciais que poderiam ser usados para acessar as redes dos clientes da Okta.
O diretor de segurança da Okta, David Bradbury, detalhou em um comunicado que o invasor utilizou credenciais roubadas para acessar o sistema de gerenciamento de casos de suporte da empresa. Esse sistema continha arquivos de gravação do navegador que haviam sido enviados por clientes da Okta para solucionar problemas.
Essas gravações do navegador, conhecidas como arquivos HAR, normalmente incluem cookies de sites e tokens de sessão. Se esses dados forem roubados, eles podem ser explorados para se passar por um usuário legítimo sem a necessidade de senha ou autenticação de dois fatores.
Bradbury assegurou que “os clientes afetados por essa violação foram notificados”. No entanto, não está claro como o sistema de suporte da Okta foi inicialmente comprometido.
A Okta é uma provedora de ferramentas de identidade e acesso usadas por organizações e empresas, oferecendo recursos como “logon único”. A empresa conta com cerca de 17.000 clientes e gerência aproximadamente 50 bilhões de usuários, de acordo com uma postagem no blog feita em março de 2023.
Embora o porta-voz da Okta, Vitor De Souza, tenha indicado que cerca de 1% dos clientes foram afetados, ele não forneceu um número específico.
A BeyondTrust, uma empresa de segurança que utiliza os serviços da Okta, informou em seu próprio blog que notificou a Okta sobre uma possível violação em 2 de outubro, após detectar uma tentativa de comprometimento da rede logo depois que um administrador compartilhou uma gravação de sessão do navegador com um agente de suporte da Okta.
Segundo o diretor de tecnologia da BeyondTrust, Marc Maiffret, o invasor usou um token de sessão da gravação do navegador para criar uma conta de administrador na rede da BeyondTrust, que foi imediatamente desativada. Maiffret afirmou que o incidente “foi resultado do comprometimento do sistema de suporte da Okta, que permitiu que um invasor acessasse arquivos confidenciais enviados por seus clientes”.
O jornalista de segurança Brian Krebs divulgou pela primeira vez a notícia, e informou que a Okta tomou medidas em 17 de outubro para conter o incidente, conforme relatado pela vice-diretora de segurança da informação da empresa, Charlotte Wylie.
Este é o mais recente incidente envolvendo a Okta, que em 2022 anunciou que hackers haviam roubado parte de seu código-fonte. No início de 2022, hackers divulgaram capturas de tela mostrando acesso à rede interna da empresa após a invasão de uma empresa utilizada pela Okta para atendimento ao cliente.
Após a divulgação da violação, as ações da Okta encerraram o dia com uma queda de 11% na sexta-feira.