A gigante de redes e segurança Cloudflare e o desenvolvedor do gerenciador de senhas 1Password disseram que hackers violaram brevemente seus sistemas após uma recente violação do departamento de suporte da Okta. Cloudflare e 1Password disseram que suas violações recentes estavam relacionadas às vulnerabilidades do Okta, mas que os incidentes não afetaram os sistemas de seus clientes ou dados de usuários.
“Encerramos imediatamente esta atividade anômala e conduzimos uma investigação e não encontramos nenhum comprometimento dos dados do usuário ou de outros sistemas confidenciais, sejam eles voltados para funcionários ou usuários”, disse o diretor de tecnologia da 1Password, Pedro Canahuati, em um post no blog. “Confirmamos que isso foi resultado de uma vulnerabilidade no sistema de suporte do Okta.”
A Okta, que fornece tecnologia de login único para empresas e organizações, disse na sexta-feira que hackers invadiram seu departamento de suporte ao cliente e roubaram arquivos carregados por clientes para diagnosticar problemas técnicos. Esses arquivos incluem logs de sessão do navegador, que podem conter credenciais confidenciais de usuário, como cookies e tokens de sessão, que, se roubados, podem permitir que hackers se façam passar por contas de usuários.
O porta-voz da Okta, Vitor DeSouza, disse que cerca de 1% dos 17.000 clientes corporativos da Okta, ou 170 organizações, foram afetados pela vulnerabilidade.
Em um relatório anexo detalhando o incidente de segurança, o 1Password disse que os hackers usaram tokens de sessão de um arquivo que os membros da equipe de TI carregaram no sistema de suporte da Okta para fins de solução de problemas no início do dia. O token de sessão permitiu que o hacker usasse a conta do membro de TI sem exigir uma senha ou código de dois fatores, dando ao hacker acesso limitado ao painel Okta do 1Password.
1Password afirmou que o incidente ocorreu em 29 de setembro, duas semanas antes de Okta divulgar os detalhes do incidente.
A Cloudflare também confirmou em uma postagem no blog na sexta-feira que os hackers também usaram tokens de sessão roubados do suporte da Okta para atacar seus sistemas. Grant Bourzikas, diretor de segurança da informação da Cloudflare, disse que o incidente da Cloudflare começou em 18 de outubro e “os atores da ameaça não tiveram acesso a nenhum de nossos sistemas ou dados”, em grande parte porque a Cloudflare usa chaves de segurança de hardware que podem evitar ataques de phishing.
A empresa de segurança BeyondTrust disse que também foi afetada pela intrusão do Okta, mas também encerrou rapidamente a intrusão. BeyondTrust disse em um blog que notificou Okta sobre o incidente em 2 de outubro, mas acusou Okta de não reconhecer a violação por quase três semanas.
Este é o mais recente incidente de segurança do Okta depois que parte de seu código-fonte foi roubado em dezembro de 2022 e hackers divulgaram capturas de tela da rede interna do Okta em janeiro de 2022.
Depois que o repórter de segurança Brian Krebs relatou pela primeira vez a notícia da violação, o preço das ações da Okta caiu mais de 11% na sexta-feira, destruindo pelo menos US$ 2 bilhões em valor da empresa.