A provedora de gerenciamento de identidade e autenticação Okta divulgou na sexta-feira que a recente violação do sistema de gerenciamento de casos de suporte afetou 134 de seus 18.400 clientes.
Foi observado que o intruso não autorizado obteve acesso aos sistemas da empresa de 28 de setembro a 17 de outubro de 2023, acessando arquivos HAR que continham tokens de sessão que poderiam ser usados para ataques de sequestro de sessão.
“O ator da ameaça foi capaz de usar esses tokens de sessão para sequestrar as sessões legítimas da Okta de 5 clientes”, disse David Bradbury, Chefe de Segurança da Okta. Entre os afetados estão 1Password, BeyondTrust e Cloudflare.
A 1Password foi a primeira empresa a relatar atividades suspeitas em 29 de setembro. Outros dois clientes não identificados foram detectados em 12 e 18 de outubro.
A Okta revelou formalmente o evento de segurança em 20 de outubro, afirmando que o ator da ameaça explorou o acesso a uma credencial roubada para acessar o sistema de gerenciamento de casos de suporte da Okta.
Agora, a empresa compartilhou mais detalhes de como isso aconteceu. A Okta disse que o acesso ao seu sistema de suporte ao cliente abusou de uma conta de serviço armazenada no próprio sistema, que tinha privilégios para visualizar e atualizar casos de suporte ao cliente.
Desde então, a Okta revogou os tokens de sessão incorporados nos arquivos HAR compartilhados pelos clientes afetados e desativou a conta de serviço comprometida.