Okta révèle qu’une violation de données a touché 134 de ses clients

Il a également indiqué que l’intrus non autorisé a accédé à ses systèmes entre le 28 septembre et le 17 octobre 2023, et a finalement accédé aux fichiers HAR contenant des jetons de session qui pourraient être utilisés pour des attaques de détournement de session.

« L’acteur de la menace a pu utiliser ces jetons de session pour détourner les sessions Okta légitimes de cinq clients », a déclaré David Bradbury, responsable de la sécurité chez Okta.

Trois des clients concernés sont 1Password, BeyondTrust et Cloudflare. 1Password a été la première entreprise à signaler une activité suspecte le 29 septembre. Deux autres clients anonymes ont été identifiés le 12 et le 18 octobre.

Okta a officiellement révélé l’événement de sécurité le 20 octobre, déclarant que l’acteur de la menace a tiré parti de l’accès à un identifiant volé pour accéder au système de gestion des cas d’assistance d’Okta. Aujourd’hui, l’entreprise a donné plus de détails sur la manière dont cela s’est produit.
Elle a indiqué que l’accès au système de support client d’Okta a abusé d’un compte de service stocké dans le système lui-même, qui avait des privilèges pour voir et mettre à jour les cas de support client. Une enquête plus approfondie a révélé que le nom d’utilisateur et le mot de passe du compte de service avaient été enregistrés sur le compte Google personnel d’un employé et que la personne s’était connectée à son compte personnel sur le navigateur web Chrome de son ordinateur portable géré par Okta.
« La voie la plus probable pour l’exposition de ces informations d’identification est la compromission du compte Google personnel de l’employé ou de son appareil personnel », a déclaré M. Bradbury.
Okta a depuis révoqué les jetons de session intégrés dans les fichiers HAR partagés par les clients concernés et désactivé le compte de service compromis. Il a également bloqué l’utilisation des profils Google personnels dans les versions d’entreprise de Google Chrome, empêchant ainsi ses employés de se connecter à leurs comptes personnels sur les ordinateurs portables gérés par Okta.
« Okta a lancé la liaison des jetons de session basée sur l’emplacement du réseau en tant qu’amélioration du produit pour lutter contre la menace de vol de jetons de session contre les administrateurs Okta », a déclaré M. Bradbury. « Les administrateurs Okta sont maintenant obligés de s’authentifier à nouveau si nous détectons un changement de réseau. Cette fonctionnalité peut être activée par les clients dans la section d’accès anticipé du portail Oktadmin ».

Ce développement intervient quelques jours après qu’Oktarevèle que des informations personnelles appartenant à 4 961 employés actuels et anciens ont été exposées après que son fournisseur de couverture médicale Rightway Healthcare ait été violé le 23 septembre 2023. Les données compromises comprenaient des noms, des numéros de sécurité sociale et des plans d’assurance médicale.