Le spécialiste de l’authentification et de la gestion d’identité Okta est de nouveau la cible d’une cyberattaque. Il comptait parmi les victimes du groupe Lapsus$ en 2022. Le fournisseur a révélé vendredi que son service d’assistance avait été compromis en exploitant l’accès à un identifiant volé. « L’auteur de la menace a pu visualiser les fichiers téléchargés par certains clients d’Okta dans le cadre de récents cas de support », a admis sur son blog David Bradbury, responsable de la sécurité d’Okta.
Okta n’a pas précisé les clients concernés ni la nature des données compromises. La société a précisé que son service de production n’était pas été affecté et pleinement opérationnel. Elle a par ailleurs informé tous les clients concernés par l’attaque.
Le support Okta utilise habituellement des fichiers http Archive (HAR), pour aider les clients à résoudre les problèmes en répliquant l’activité du navigateur. Or ces derniers peuvent également contenir des données sensibles, notamment des cookies et des jetons de session, qui pourraient être exploités ultérieurement par les acteurs de la menace pour usurper l’identité d’utilisateurs valides.
« Okta a pris des mesures pour protéger nos clients notamment en révoquant les jetons de session intégrés. En général, Okta recommande de nettoyer toutes les informations d’identification et cookies/jetons de session dans un fichier HAR avant de le partager », a précisé David Bradbury.
Circonstance aggravante, BeyondTrust, l’un des clients d’Okta, affirme avoir détecté et bloqué une tentative de connexion à un compte administrateur interne d’Okta le 2 octobre à l’aide d’un cookie volé. Le spécialiste des accès à privilège a tout de suite fait savoir à Okta que son organisation de support était compromise mais il a fallu plus de deux semaines au fournisseur pour confirmer la violation.
L’annonce de ce nouveau piratage a eu des répercussions en bourse. L’action Okta a terminé en baisse de 11,6 % vendredi à 75,57 $.