Okta, azienda statunitense che offre servizi di autenticazione e gestione dell’identità, ha confermato un’intrusione non autorizzata al sistema usato per il supporto clienti. Ignoti cybercriminali hanno effettuato l’accesso tramite credenziali rubate. Tra i clienti interessati ci sono BeyondTrust e Cloudflare. Okta era stata già bersaglio di altri attacchi nel corso del 2022.
Furto di token e cookie di sessione
Il data breach è stato scoperto da BeyondTrust il 2 ottobre, quando il suo team di sicurezza ha rilevato e bloccato un tentativo di login ad un account amministratore Okta, usando un cookie rubato dal sistema di supporto dell’azienda di San Francisco. Cloudflare ha invece rilevato l’accesso alla sua istanza Okta (tramite token di autenticazione) il 18 ottobre. Okta ha confermato l’intrusione il 19 ottobre, quindi i cybercriminali hanno avuto oltre due settimane di tempo per raccogliere i dati.
Il sistema di supporto clienti prevede l’invio di file HAR (HTML Archive) per consentire la riproduzione dei problemi rilevati durante l’attività Internet. In questi file ci sono anche dati sensibili dei clienti, tra cui cookie, token di sessione, header e pagine visitate. I cybercriminali hanno usato le credenziali rubate per accedere al sistema di supporto e ai file HAR. Successivamente hanno tentato di prendere il controllo degli account di alcuni clienti tramite cookie e token di sessione.
Okta ha revocato tutti i token di sessione e consigliato ai clienti di eliminare credenziali, cookie e token dai file HAR prima dell’invio. L’azienda californiana non ha specificato il numero di clienti interessati, né come i cybercriminali hanno ottenuto le credenziali di accesso al sistema di supporto.