“A finales de enero de 2022, Okta detectó un intento de comprometer la cuenta de un ingeniero de soporte al cliente de terceros que trabajaba para uno de nuestros subprocesadores”, tuiteó el CEO de la compañía Okta, Todd McKinnon. “El asunto fue investigado y contenido por el subprocesador”.
El tuit fue en respuesta a las últimas publicaciones del grupo de ciberdelincuentes Lapsus$ en su canal de Telegram, según múltiples reportes durante la noche.
“Creemos que las capturas de pantalla compartidas en línea están relacionadas con este evento de enero. Basándonos en nuestra investigación hasta la fecha, no hay evidencia de actividad maliciosa en curso más allá de la actividad detectada en enero”, dijo McKinnon.
Este incidente podría tener implicaciones para la ciberseguridad de los clientes de Okta, que utilizan los servicios de inicio de sesión único (SSO) de la empresa -incluidos los gestores de contraseñas- para controlar el acceso a sus redes y aplicaciones.
El investigador de seguridad Bill Demirkapi publicó a última hora del lunes un hilo de Twitter con capturas de pantalla de la página de Telegram donde Lapsus$ ha publicado pruebas de sus intrusiones. Las ocho capturas de pantalla incluyen imágenes que parecen mostrar un canal de Slack de Okta, y un panel de “superusuario” de Cloudflare, una importante red de distribución de contenidos. El CEO de Cloudflare, Matthew Prince, tuiteó a primera hora de la mañana del martes que la compañía era consciente de que “Okta podría haber sido comprometida”, pero añadió que no había pruebas de que Cloudflare hubiera sido comprometida. “Okta es simplemente un proveedor de identidad”, escribió Prince. “Afortunadamente, tenemos múltiples capas de seguridad más allá de Okta, y nunca los consideraría como una opción única”.
Los servicios de Okta están aprobados para el uso del gobierno de Estados Unidos bajo el programa FedRAMP, que certifica la seguridad de los servicios basados en la nube. Entre los clientes de la agencia se encuentran la Comisión Federal de Comunicaciones y los Centros de Servicios de Medicare y Medicaid.
“Para un servicio que alimenta los sistemas de autenticación de muchas de las mayores corporaciones (y aprobado por FEDRAMP) creo que estas medidas de seguridad son bastante pobres”, escribió la banda en el mensaje que incluía las capturas de pantalla.
