Kamso Oguejiofor-Abugu
Actualizado en: 25 de Octubre de 2023 
En un incidente de seguridad divulgado recientemente, 1Password detectó actividad sospechosa en su instancia de Okta relacionada con el incidente del sistema de soporte de Okta. El 29 de septiembre de 2023, un miembro del equipo de TI de Okta recibió un correo electrónico sospechoso que indicaba que había iniciado un informe de las cuentas de administrador de Okta, una acción que no había realizado. Alarmados, alertaron al equipo de respuesta a incidentes de seguridad de la empresa.
"Las investigaciones preliminares revelaron que la actividad en nuestro entorno Okta procedía de una dirección IP sospechosa y luego se confirmó que un actor de amenazas había accedido a nuestro inquilino de Okta con privilegios administrativos", decía el informe de incidentes de seguridad de 1Passwsord.
Esta actividad ilícita comparte semejanzas con un patrón de ciberataque conocido en el que los atacantes comprometen cuentas de superadministrador para alterar los flujos de autenticación, haciéndose pasar por usuarios de la organización afectada.
En particular, la intención inicial del atacante parecía ser el reconocimiento de información, posiblemente preparándose para un ataque más sofisticado. Como tal, "no hay evidencia que demuestre que el actor accedió a ningún sistema fuera de Okta".
Según el informe, el atacante pudo acceder al portal administrativo de Okta mediante una sesión iniciada por el miembro del equipo de TI para crear un archivo HAR (un registro de todo el tráfico entre un navegador y los servidores de Okta). El atacante intentó varias acciones, incluida la activación de un proveedor de identidad (IDP) y solicitar un informe de usuarios administrativos, lo que llevó a la notificación por correo electrónico al miembro del equipo de TI.
"El archivo HAR se creó en la computadora portátil macOS del miembro del equipo y se cargó a través de WiFi proporcionado por el hotel, ya que este evento ocurrió al final de un evento de la empresa", se lee en el informe. “Basado en un análisis de cómo se creó y cargó el archivo, el uso de TLS y HSTS por parte de Okta, y el uso previo del mismo navegador para acceder a Okta, se cree que no había ninguna ventana en la que estos datos pudieran haber sido expuestos. la red WiFi, o de otro modo sujeto a interceptación”.
En respuesta a la infracción, se han iniciado amplias actualizaciones de seguridad, incluida la denegación de inicios de sesión de IDP que no sean de Okta, reglas de autenticación multifactor (MFA) más estrictas para usuarios administrativos y tiempos de sesión reducidos.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.safetydetectives.com/news/security-breach-at-okta-incident-highlights-need-for-enhanced-protocols/
