L’enquête d’Okta sur la violation de son environnement Help Center le mois dernier a révélé que les pirates ont obtenu des données appartenant à tous les utilisateurs du système de support client.

La société note que l’auteur de la menace a également accédé à des rapports supplémentaires et à des dossiers d’assistance contenant les coordonnées de toutes les informations de contact de tous les utilisateurs certifiés Okta.

Début novembre, la société a révélé qu’un acteur malveillant avait obtenu un accès non autorisé aux fichiers de son système de support client et que les premières preuves indiquaient une violation limitée des données.

Selon les détails découverts à l’époque, le pirate informatique a accédé aux fichiers HAR contenant des cookies et des jetons de session pour 134 clients, soit moins de 1 % des clients de l’entreprise, qui pourraient être utilisés pour détourner les sessions Okta d’utilisateurs légitimes.

Une enquête plus approfondie sur l’attaque a révélé que l’auteur de la menace a également « téléchargé un rapport contenant les noms et adresses e-mail de tous les utilisateurs du système de support client Okta ».

« Tous les clients Okta Workforce Identity Cloud (WIC) et Customer Identity Solution (CIS) sont concernés, à l’exception des clients de nos environnements FedRamp High et DoD IL4 (ces environnements utilisent un système de support distinct auquel l’acteur malveillant n’a pas accès). Le support Auth0/CIC le système de gestion des dossiers n’a pas non plus été affecté par cet incident » – Okta

Selon l’entreprise, le rapport volé comprenait des champs pour le nom complet, le nom d’utilisateur, l’e-mail, le nom de l’entreprise, le type d’utilisateur, l’adresse, le dernier changement/réinitialisation du mot de passe, le rôle, le numéro de téléphone, le numéro de mobile, le fuseau horaire et l’ID de la fédération SAML.

Cependant, Okta précise que pour 99,6 % des utilisateurs répertoriés dans le rapport, les seules informations de contact disponibles étaient le nom complet et l’adresse e-mail. En outre, l’entreprise a assuré qu’aucune information d’identification n’avait été exposée.

La déclaration d’Okta indique que de nombreux utilisateurs exposés sont des administrateurs et que 6 % d’entre eux n’ont pas activé la défense d’authentification multifacteur contre les tentatives de connexion non autorisées.

La société déclare que les intrus ont également accédé aux données « d’utilisateurs certifiés Okta et de certains contacts clients Okta Customer Identity Cloud (CIC) » ainsi qu’aux détails des employés d’Okta.

« Nous avons également identifié des rapports et des dossiers d’assistance supplémentaires auxquels l’auteur de la menace a accédé, qui contiennent les coordonnées de tous les utilisateurs certifiés Okta et de certains contacts clients Okta Customer Identity Cloud (CIC), ainsi que d’autres informations. Certaines informations sur les employés d’Okta ont également été incluses dans ces rapports. . Ces informations de contact n’incluent pas les informations d’identification de l’utilisateur ni les données personnelles sensibles » – Okta

La plupart du temps, les noms et les adresses e-mail suffisent à un acteur malveillant pour lancer des attaques de phishing ou d’ingénierie sociale qui pourraient lui servir dans des étapes de reconnaissance ou l’aider à obtenir plus de détails pour préparer une attaque plus sophistiquée.

Pour vous protéger contre les attaques potentielles, Okta recommande ce qui suit :

  1. Implémentez MFA pour l’accès administrateur, de préférence en utilisant des méthodes résistantes au phishing comme Okta Verify FastPass, FIDO2 WebAuthn ou PIV/CAC Smart Cards.
  2. Activez la liaison de session d’administrateur pour exiger une réauthentification pour les sessions d’administrateur à partir de nouvelles adresses IP.
  3. Définissez les délais d’expiration des sessions d’administration sur un maximum de 12 heures avec un temps d’inactivité de 15 minutes, conformément aux directives du NIST.
  4. Augmentez la sensibilisation au phishing en restant vigilant contre les tentatives de phishing et en renforçant les processus de vérification du service d’assistance informatique, en particulier pour les actions à haut risque.

Okta a été la cible d’attaques de vol d’identifiants et d’ingénierie sociale au cours des deux dernières années, alors que des pirates informatiques ont accédé en décembre dernier au code source des référentiels GitHub privés de l’entreprise.

En janvier 2022, des pirates ont eu accès à l’ordinateur portable d’un ingénieur du support technique d’Okta avec les privilèges nécessaires pour lancer la réinitialisation des mots de passe des clients. L’incident a touché environ 375 clients, soit 2,5 % de la clientèle de l’entreprise.

Le groupe d’extorsion Lapsus$ a revendiqué l’attaque et divulgué des captures d’écran montrant qu’il disposait d’un accès « superutilisateur/administrateur » à Okta.com et pouvait accéder aux données des clients.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *