Kamso Oguejiofor-Abugu
Atualizado em: 25 de outubro de 2023 
Em um incidente de segurança divulgado recentemente, o 1Password detectou atividades suspeitas em sua instância Okta relacionadas ao incidente do Sistema de Suporte do Okta. Em 29 de setembro de 2023, um membro da equipe de TI da Okta recebeu um e-mail suspeito indicando que havia iniciado um relatório de contas de administrador da Okta – uma ação que não havia realizado. Alarmados, eles alertaram a equipe de resposta a incidentes de segurança da empresa.
“As investigações preliminares revelaram que a atividade em nosso ambiente Okta foi originada por um endereço IP suspeito e mais tarde foi confirmado que um agente de ameaça havia acessado nosso inquilino Okta com privilégios administrativos”, dizia o relatório de incidente de segurança do 1Passwsord.
Esta atividade ilícita tem semelhanças com um padrão de ataque cibernético conhecido, em que os invasores comprometem contas de superadministradores para interferir nos fluxos de autenticação, fazendo-se passar por usuários da organização afetada.
Notavelmente, a intenção inicial do atacante parecia ser o reconhecimento de informações, possivelmente preparando-se para um ataque mais sofisticado. Como tal, “não há evidências que provem que o ator acessou qualquer sistema fora do Okta”.
Segundo o relatório, o invasor conseguiu acessar o portal administrativo do Okta usando uma sessão iniciada pelo membro da equipe de TI para criar um arquivo HAR (um registro de todo o tráfego entre um navegador e os servidores do Okta). O invasor tentou diversas ações, incluindo a ativação de um Provedor de Identidade (IDP) e a solicitação de um relatório administrativo de usuários, o que levou à notificação por e-mail ao membro da equipe de TI.
“O arquivo HAR foi criado no laptop macOS do membro da equipe e carregado via WiFi fornecido pelo hotel, pois esse evento ocorreu no final de um evento da empresa”, dizia o relatório. “Com base na análise de como o arquivo foi criado e carregado, no uso de TLS e HSTS pela Okta e no uso anterior do mesmo navegador para acessar o Okta, acredita-se que não houve janela na qual esses dados pudessem ter sido expostos. a rede WiFi, ou de outra forma sujeita a interceptação.”
Em resposta à violação, foram iniciadas extensas atualizações de segurança, incluindo a negação de logins de IDPs não-Okta, regras mais rígidas de autenticação multifator (MFA) para usuários administrativos e tempos de sessão reduzidos.
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://www.safetydetectives.com/news/security-breach-at-okta-incident-highlights-need-for-enhanced-protocols/
