Le géant des réseaux et de la sécurité Cloudflare et le développeur de gestionnaires de mots de passe 1Password ont déclaré que des pirates informatiques avaient brièvement piraté leurs systèmes à la suite d'une récente violation du service d'assistance d'Okta. Cloudflare et 1Password ont tous deux déclaré que leurs récentes violations étaient liées aux vulnérabilités d'Okta, mais que les incidents n'avaient pas affecté les systèmes de leurs clients ou les données des utilisateurs.
"Nous avons immédiatement mis fin à cette activité anormale et mené une enquête et n'avons trouvé aucune compromission des données des utilisateurs ou d'autres systèmes sensibles, que ce soit ceux des employés ou des utilisateurs", a déclaré Pedro Canahuati, directeur de la technologie de 1Password, dans un article de blog. "Nous avons confirmé que cela était le résultat d'une vulnérabilité dans le système de support d'Okta."
Okta, qui fournit une technologie d'authentification unique aux entreprises et organisations, a déclaré vendredi soir que des pirates informatiques avaient pénétré par effraction dans son service client et volé des fichiers téléchargés par des clients pour diagnostiquer des problèmes techniques. Ces fichiers incluent les journaux de session du navigateur, qui peuvent contenir des informations d'identification d'utilisateur sensibles telles que des cookies et des jetons de session qui, en cas de vol, peuvent permettre aux pirates informatiques d'usurper l'identité des comptes d'utilisateurs.
Le porte-parole d'Okta, Vitor DeSouza, a déclaré qu'environ 1 % des 17 000 entreprises clientes d'Okta, soit 170 organisations, étaient affectées par cette vulnérabilité.
Dans un rapport ci-joint détaillant l'incident de sécurité, 1Password a déclaré que les pirates avaient utilisé des jetons de session provenant d'un fichier que les membres de l'équipe informatique avaient téléchargé sur le système d'assistance d'Okta à des fins de dépannage plus tôt dans la journée. Le jeton de session permettait au pirate informatique d'utiliser le compte du membre informatique sans nécessiter de mot de passe ou de code à deux facteurs, donnant au pirate informatique un accès limité au panneau Okta de 1Password.
1Password a déclaré que l'incident s'est produit le 29 septembre, deux semaines avant qu'Okta ne divulgue les détails de l'incident.
Cloudflare a également confirmé vendredi dans un article de blog que les pirates ont également utilisé des jetons de session volés au support Okta pour attaquer ses systèmes. Grant Bourzikas, responsable de la sécurité des informations chez Cloudflare, a déclaré que l'incident de Cloudflare a commencé le 18 octobre et que « les auteurs de la menace n'avaient accès à aucun de nos systèmes ou données », en grande partie parce que Cloudflare utilise des clés de sécurité matérielles qui peuvent échapper aux attaques de phishing.
La société de sécurité BeyondTrust a déclaré qu'elle avait également été affectée par l'intrusion d'Okta, mais qu'elle avait également rapidement mis fin à l'intrusion. BeyondTrust a déclaré dans un article de blog avoir informé Okta de l'incident le 2 octobre, mais accusé Okta de ne pas avoir reconnu la violation pendant près de trois semaines.
Il s’agit du dernier incident de sécurité d’Okta après qu’une partie de son code source a été volée en décembre 2022 et que des pirates ont publié des captures d’écran du réseau interne d’Okta en janvier 2022.
Après que le journaliste de sécurité Brian Krebs a annoncé pour la première fois la nouvelle de la violation, le cours de l'action Okta a chuté de plus de 11 % vendredi, effaçant au moins 2 milliards de dollars de valeur de l'entreprise.