Des hackers ont volé des jetons d’accès au service support d’Okta

 (krebsonsecurity.com)
1 points par GN⁺ 2023-10-22 | 1 commentaires | Partager sur WhatsApp
  • Okta, l’entreprise qui fournit des outils d’identité comme l’authentification multifacteur et le single sign-on, a subi un incident de sécurité lié à son service de support client.
  • Cet incident n’a touché qu’un « très petit nombre » de clients, mais les hackers ont pu accéder à la plateforme de support d’Okta pendant au moins deux semaines avant que l’intrusion ne soit entièrement bloquée.
  • Les hackers ont accédé à des identifiants volés puis au système de gestion des tickets de support d’Okta, ce qui leur a permis de voir les fichiers téléversés par des clients d’Okta dans le cadre de demandes de support récentes.
  • Pour résoudre des problèmes, Okta demande souvent à ses clients des fichiers HTTP Archive (HAR). Ces fichiers peuvent contenir des informations sensibles comme des cookies et des jetons de session, que les hackers peuvent utiliser pour se faire passer pour des utilisateurs légitimes.
  • Okta a pris des mesures pour protéger ses clients, notamment en révoquant les jetons de session intégrés, et recommande de nettoyer tous les identifiants ainsi que les cookies/jetons de session avant de partager un fichier HAR.
  • BeyondTrust, client d’Okta, a signalé un problème potentiel à Okta deux semaines avant la publication de l’annonce par l’entreprise. BeyondTrust a détecté une tentative de création d’un compte administrateur dans son environnement Okta à l’aide d’un compte Okta attribué à l’un de ses ingénieurs.
  • Au départ, Okta ne pensait pas que l’alerte de BeyondTrust provenait d’une compromission de ses propres systèmes, mais au 17 octobre, l’entreprise avait identifié et bloqué l’incident.
  • Charlotte Wylie, directrice adjointe de la sécurité de l’information chez Okta, n’a pas précisé le nombre de clients ayant reçu une alerte concernant un problème de sécurité potentiel, mais l’a décrit comme une « part très, très faible » parmi plus de 18 000 clients.
  • Cette compromission est survenue après les récents piratages des géants des casinos Caesar’s Entertainment et MGM Resorts, au cours desquels les attaquants étaient parvenus à réinitialiser les exigences de connexion multifacteur des comptes administrateur Okta.
  • Okta estime que l’adversaire à l’origine de cette compromission est un acteur malveillant déjà connu pour avoir ciblé auparavant Okta et ses clients.
  • Okta a publié un billet de blog sur cet incident, incluant des « signes de compromission » permettant aux clients de vérifier s’ils ont été touchés. L’entreprise affirme avoir notifié tous les clients concernés.

À lire aussi

1 commentaires

 
GN⁺ 2023-10-22
Avis Hacker News
  • L’entreprise de cybersécurité Okta a été alertée par BeyondTrust d’une activité suspecte, mais n’a d’abord trouvé aucun signe d’intrusion.
  • Okta n’a confirmé et bloqué l’intrusion qu’après les insistances répétées de BeyondTrust.
  • Le billet de blog d’Okta sur l’incident ne mentionnait pas l’alerte d’un tiers, ce qui a suscité des inquiétudes quant au manque de transparence.
  • Charlotte Wylie, directrice adjointe de la sécurité de l’information chez Okta, a confirmé que l’entreprise avait d’abord ignoré l’alerte de BeyondTrust avant de vérifier ensuite l’intrusion.
  • Des critiques ont visé le retard pris pour reconnaître l’intrusion et y répondre, en particulier compte tenu du rôle d’Okta comme spécialiste de la cybersécurité et de l’authentification.
  • Certains commentaires suggèrent que des gardiens critiques comme le SSO, OAuth, SAML et la 2FA devraient être exploités on-premise plutôt que de dépendre de solutions SaaS comme Okta.
  • Il existe une attente générale selon laquelle les fournisseurs d’identité, les gestionnaires de mots de passe et les entreprises de VPN ne devraient jamais être piratés en raison de leur rôle de sécurité.
  • Certains utilisateurs expriment des inquiétudes concernant la décision d’Okta de sous-traiter son personnel de support, en évoquant les risques de sécurité potentiels que cela entraîne.
  • Les avis sont partagés sur l’acquisition par Okta de son concurrent Auth0, certains utilisateurs faisant part de leurs préoccupations concernant la centralisation des fournisseurs d’identité et d’authentification.
  • Certains utilisateurs recherchent des recommandations pour un fournisseur centralisé d’identité et d’authentification digne de confiance.