La (nueva) violación del sistema de gestión de casos de Okta, reportada a fines de la semana pasada, evolucionó hacia una nueva fase cuando Cloudflare, 1Password y BeyondTrust confirmaron que los delincuentes informáticos atacaron sus sistemas como resultado de la violación.
A pesar de ser el objetivo de los actores de amenazas, las tres empresas dijeron que no se perdieron datos de los clientes en ninguno de los incidentes.
En una publicación de blog del 20 de octubre, BeyondTrust informó que el 2 de octubre, sus equipos de seguridad detectaron un ataque centrado en la identidad en una cuenta de administrador interna de Okta. Dijeron que el incidente fue el resultado de que el sistema de soporte de Okta se vio comprometido, lo que permitió a un atacante acceder a archivos confidenciales cargados por sus clientes.
"Luego detectamos y remediamos el ataque a través de nuestras propias herramientas de seguridad de identidad, lo que no tuvo ningún impacto ni exposición a nuestra infraestructura ni a ningún cliente", dijeron los investigadores de BeyondTrust.
Cloudflare también publicó un blog el 20 de octubre diciendo que los actores de amenazas pudieron aprovechar un compromiso de token de autenticación en Okta y luego "pivotar" a la instancia Okta de Cloudflare.
"Si bien este fue un incidente de seguridad preocupante, la detección en tiempo real y la rápida respuesta de nuestro Equipo de Respuesta a Incidentes de Seguridad permitieron la contención y minimizaron el impacto en los sistemas y datos de Cloudflare. Hemos verificado que este evento no afectó la información ni los sistemas de los clientes de Cloudflare".
Por su parte, 1Password también publicó una declaración similar: "Detectamos actividad sospechosa en nuestra instancia de Okta relacionada con el incidente de su sistema de soporte. Después de una investigación exhaustiva, llegamos a la conclusión de que no se accedió a ningún dato de usuario de 1Password".
Una infracción puede tener un efecto en cascada, afectando no solo a Okta, sino también a su amplia base de clientes, dijo Callie Guenther, gerente senior de investigación de amenazas cibernéticas en Critical Start. "Este tipo de incidentes erosionan la confianza que los usuarios y las empresas depositan en los proveedores de servicios, especialmente en proveedores como Okta, donde la seguridad es el principal punto de venta", afirmó Guenther.
"Con los datos expuestos, los atacantes pueden lanzar ataques secundarios, potencialmente dirigidos a los clientes de Okta, o incluso a sus clientes, aumentando el impacto general de la infracción", dijo Guenther.
En menos de dos años, Okta se ha enfrentado a múltiples incidentes de seguridad, lo que ha generado importantes preocupaciones sobre su postura de seguridad y las implicaciones para su clientela global. Dado el papel fundamental de Okta en los marcos de seguridad de muchas organizaciones, estos incidentes repetidos subrayan la necesidad de evaluaciones de seguridad rigurosas y continuas y de medidas proactivas.
John Bambenek, principal cazador de amenazas en Netenrich, agregó que los equipos de seguridad deben asegurarse de que cualquier producto de inicio de sesión único que utilicen realmente esté bloqueado.
"Como líder de seguridad, tiendo a no tomar un solo evento como indicador de confiabilidad", dijo Bambenek. "Sin embargo, cuando sigues viendo la misma empresa en las noticias con eventos de seguridad, comienzas a plantearte algunas preguntas fundamentales sobre si puedes confiar en esa organización para una función tan sensible, como la identidad y la autenticación".
Fuente: SCMagazine