Okta : 134 clients impactés par le piratage lié à la compromission du compte d’un salarié !
Fin octobre, l'entreprise Okta a révélé avoir subi une nouvelle cyberattaque lors de laquelle les pirates sont parvenus à voler les cookies de session de plusieurs clients. Désormais, nous en savons plus : cette attaque concerne 134 clients d'Okta.
Les investigations menées par Okta ont permis de déterminer que le dernier piratage a impacté 134 clients : "Nous pouvons confirmer que du 28 septembre 2023 au 17 octobre 2023, un groupe de cybercriminels a obtenu un accès non autorisé à des fichiers à l'intérieur du système de support client d'Okta associé à 134 clients Okta, soit moins de 1% des clients Okta.", peut-on lire sur le site d'Okta.
Ce piratage est lié à la compromission du compte Google d'un salarié de chez Okta, ou à la compromission de son ordinateur personnel. Il s'est connecté à son compte Google personnel sur son ordinateur professionnel mis à disposition par Okta, et ses identifiants d'accès à l'application d'Okta ont été enregistrés dans son compte Google. "La voie la plus probable pour l'exposition de cet identifiant est la compromission du compte Google personnel de l'employé ou de son appareil personnel.", précise Okta.
Grâce à cet accès, ils ont pu accéder au système d'assistance d'Okta et récupérer des fichiers HAR pouvant contenir des cookies de session et jetons de clients. À ce sujet, Okta apporte également des précisions : "Le groupe de cybercriminels a pu utiliser ces jetons de session pour détourner les sessions Okta légitimes de 5 clients (hijacking), dont 3 ont partagé leur propre réponse à cet événement."
Okta fait probablement référence à Cloudflare, BeyondTrust ainsi qu'au gestionnaire de mots de passe 1Password puisqu'il s'agit de trois sociétés qui ont effectivement communiqués sur cet incident de sécurité.
Okta n'a pas communiqué le nom des autres entreprises affectées par cet incident de sécurité.
