Violation de la sécurité : une société de logiciels américaine comptant des milliers de clients touchés par une attaque de pirate informatique et les jetons d’accès des clients volés

La société de logiciels basée aux États-Unis Okta, qui fournit des outils d’identité tels que l’authentification multifacteur et l’authentification unique à des milliers d’entreprises, a subi une crise. violation de la sécurité. Des pirates ont réussi à s’introduire dans son unité de support client. Okta a affirmé que l’incident avait touché un « très petit nombre » de clients, mais il semble que les pirates informatiques responsables aient eu accès à la plateforme d’assistance de l’entreprise pendant au moins deux semaines avant que celle-ci ne contienne complètement l’intrusion.
Les pirates auraient pu visualiser les fichiers téléchargés par certains clients d’Okta dans le cadre de récents cas d’assistance, a admis David Bradbury, responsable de la sécurité d’Okta. “Il convient de noter que le Assistance Okta Le système de gestion des cas est distinct du service de production Okta, qui est pleinement opérationnel et n’a pas été impacté », a-t-il déclaré dans un article de blog vendredi 21 octobre.
Bradbury a déclaré que le support Okta demanderait aux clients de télécharger une archive HTTP (CHEVEUX), qui permet de résoudre les problèmes en répliquant l’activité du navigateur.
« Les fichiers HAR peuvent également contenir des données sensibles, notamment des cookies et des jetons de session, que des acteurs malveillants peuvent utiliser pour usurper l’identité d’utilisateurs valides. Okta a travaillé avec les clients concernés pour enquêter et a pris des mesures pour protéger nos clients, notamment la révocation des jetons de session intégrés. “, a-t-il informé.
Courrier Okta aux clients
Tous les clients touchés par la faille de sécurité ont été informés par l’entreprise. Dans un avis envoyé à un nombre non divulgué de clients le 19 octobre, Okta a déclaré avoir « identifié une activité contradictoire qui exploitait l’accès à un identifiant volé pour accéder au système de gestion des dossiers d’assistance d’Okta. L’acteur malveillant a pu visualiser les fichiers téléchargés par certains clients Okta dans le cadre de récents cas d’assistance.

“Okta a travaillé avec les clients concernés pour enquêter et a pris des mesures pour protéger nos clients, notamment la révocation des jetons de session intégrés”, ajoute l’avis. « En général, Okta recommande de nettoyer toutes les informations d’identification et tous les cookies/jetons de session dans un fichier HAR avant de le partager. »
Comment l’attaque de piratage a été découverte
Entreprise de sécurité Au-delà de la confiancequi utilise Okta, a déclaré avoir informé l’entreprise d’une violation potentielle le 2 octobre après avoir détecté une tentative de compromission de son réseau.
L’incident a commencé lorsque les équipes de sécurité de BeyondTrust ont détecté un attaquant tentant d’accéder à un compte administrateur interne d’Okta à l’aide d’un cookie de session valide volé dans le système d’assistance d’Okta.
« L’outil Identity Security Insights de BeyondTrust a alerté l’équipe de l’attaque, et ils ont pu bloquer tous les accès et vérifier que cet attaquant n’avait accès à aucun système », a déclaré la société.