El gigante de redes y seguridad Cloudflare y el desarrollador de administradores de contraseñas 1Password dijeron que los piratas informáticos violaron brevemente sus sistemas luego de una reciente violación del departamento de soporte de Okta. Cloudflare y 1Password dijeron que sus recientes infracciones estaban relacionadas con las vulnerabilidades de Okta, pero que los incidentes no afectaron los sistemas de sus clientes ni los datos de sus usuarios.
"Inmediatamente terminamos esta actividad anómala y llevamos a cabo una investigación y no encontramos ningún compromiso de los datos del usuario u otros sistemas sensibles, ya sea de cara al empleado o al usuario", dijo el director de tecnología de 1Password, Pedro Canahuati, en una publicación de blog. "Hemos confirmado que esto fue el resultado de una vulnerabilidad en el sistema de soporte de Okta".
Okta, que proporciona tecnología de inicio de sesión único a empresas y organizaciones, dijo el viernes por la noche que los piratas informáticos habían irrumpido en su departamento de atención al cliente y habían robado archivos cargados por los clientes para diagnosticar problemas técnicos. Estos archivos incluyen registros de sesión del navegador, que pueden contener credenciales de usuario confidenciales, como cookies y tokens de sesión, que, en caso de robo, pueden permitir a los piratas informáticos hacerse pasar por cuentas de usuario.
El portavoz de Okta, Vitor DeSouza, dijo que alrededor del 1% de los 17.000 clientes empresariales de Okta, o 170 organizaciones, se vieron afectados por la vulnerabilidad.
En un informe adjunto que detalla el incidente de seguridad, 1Password dijo que los piratas informáticos utilizaron tokens de sesión de un archivo que los miembros del equipo de TI cargaron en el sistema de soporte de Okta para solucionar problemas ese mismo día. El token de sesión permitió al hacker usar la cuenta del miembro de TI sin requerir una contraseña o un código de dos factores, lo que le dio al hacker acceso limitado al panel Okta de 1Password.
1Password declaró que el incidente ocurrió el 29 de septiembre, dos semanas antes de que Okta revelara los detalles del incidente.
Cloudflare también confirmó en una publicación de blog el viernes que los piratas informáticos también utilizaron tokens de sesión robados del soporte de Okta para atacar sus sistemas. Grant Bourzikas, director de seguridad de la información de Cloudflare, dijo que el incidente de Cloudflare comenzó el 18 de octubre y "los actores de la amenaza no tenían acceso a ninguno de nuestros sistemas o datos", en gran parte porque Cloudflare utiliza claves de seguridad de hardware que pueden evadir ataques de phishing.
La empresa de seguridad BeyondTrust dijo que también se vio afectada por la intrusión de Okta, pero también cerró rápidamente la intrusión. BeyondTrust dijo en una publicación de blog que notificó a Okta sobre el incidente el 2 de octubre, pero acusó a Okta de no reconocer la infracción durante casi tres semanas.
Este es el último incidente de seguridad de Okta después de que parte de su código fuente fuera robado en diciembre de 2022 y los piratas informáticos publicaran capturas de pantalla de la red interna de Okta en enero de 2022.
Después de que el periodista de seguridad Brian Krebs informara por primera vez sobre la violación, el precio de las acciones de Okta cayó más del 11% el viernes, eliminando al menos 2 mil millones de dólares en valor de la empresa.