Okta ha fornito ulteriori informazioni sul data breach confermato lo scorso 20 ottobre. L’azienda statunitense, leader nel mercato dei servizi di autenticazione e gestione dell’identità, ha completato l’indagine sull’accaduto, quindi può spiegare come i cybercriminali sono riusciti ad accedere al sistema di supporto clienti.
Accesso ai file di 134 clienti
Okta ha rilevato che la prima intrusione non autorizzata è avvenuta il 28 settembre. Durante i successivi 19 giorni, i cybercriminali hanno effettuato l’accesso ai file associati a 134 clienti. Alcuni di essi erano file HAR (HTML Archive) contenenti token di sessione usati per prendere il controllo degli account di cinque clienti, tre dei quali hanno confermato l’accaduto (1Password, Cloudflare e BeyondTrust).
L’accesso non autorizzato al sistema di supporto clienti è avvenuto tramite un account di servizio memorizzato nel sistema stesso. Questo account aveva i permessi di visualizzazione e aggiornamento. Un dipendente di Okta ha effettuato il login al proprio account Google tramite il browser Chrome installato su un notebook aziendale. Le credenziali dell’account di servizio erano probabilmente memorizzate nel password manager di Chrome.
La prima segnalazione è arrivata da 1Password il 29 settembre. Okta ha disattivato l’account di servizio e revocato i token di sessione il 17 ottobre, quindi oltre due settimane dopo. L’azienda californiana ha bloccato l’uso di account Google personali sui notebook dei dipendenti. Inoltre è stato rafforzato il monitoraggio del sistema di supporto clienti e associato i token di sessione alla posizione della rete (qualsiasi accesso da indirizzi IP diversi verrà bloccato).
Un altro data breach ha interessato Okta in maniera indiretta. Il 23 settembre, ignoti cybercriminali hanno effettuato l’accesso alla rete di Rightway Healthcare, un’azienda che offre copertura assicurativa sanitaria ai dipendenti. Sono stati sottratti i dati (nome, numero di sicurezza sociale e numero del piano assicurativo) di 4.961 dipendenti di Okta.