Người khổng lồ về mạng và bảo mật Cloudflare và nhà phát triển quản lý mật khẩu 1Password cho biết tin tặc đã xâm phạm hệ thống của họ trong thời gian ngắn sau một vụ vi phạm bộ phận hỗ trợ của Okta gần đây. Cloudflare và 1Password đều cho biết các vi phạm gần đây của họ có liên quan đến lỗ hổng của Okta, nhưng sự cố này không ảnh hưởng đến hệ thống khách hàng hoặc dữ liệu người dùng của họ.
1Giám đốc công nghệ mật khẩu Pedro Canahuati cho biết trong một bài đăng trên blog: "Chúng tôi đã ngay lập tức chấm dứt hoạt động bất thường này và tiến hành điều tra và không tìm thấy dữ liệu người dùng hay hệ thống nhạy cảm nào khác bị xâm phạm. Đối mặt với nhân viên hoặc đối mặt với người dùng. Chúng tôi đã xác nhận đây là kết quả của một lỗ hổng trong hệ thống hỗ trợ của Okta. "
Okta, công ty cung cấp công nghệ đăng nhập một lần cho các công ty và tổ chức, cho biết vào cuối ngày thứ Sáu rằng tin tặc đã xâm nhập bộ phận hỗ trợ khách hàng của họ và đánh cắp các tệp do khách hàng tải lên để chẩn đoán các vấn đề kỹ thuật. Các tệp này bao gồm nhật ký phiên trình duyệt, có thể chứa thông tin xác thực nhạy cảm của người dùng như cookie và mã thông báo phiên, nếu bị đánh cắp, có thể cho phép tin tặc mạo danh tài khoản người dùng.
Người phát ngôn của Okta Vitor DeSouza cho biết khoảng 1% trong số 17.000 khách hàng doanh nghiệp hoặc 170 tổ chức của Okta bị ảnh hưởng bởi lỗ hổng này.
1Password cho biết trong một báo cáo đính kèm nêu chi tiết sự cố bảo mật rằng tin tặc đã sử dụng mã thông báo phiên từ một tệp mà các thành viên nhóm CNTT đã tải lên hệ thống hỗ trợ của Okta nhằm mục đích khắc phục sự cố trước đó trong ngày. Mã thông báo phiên cho phép hacker sử dụng tài khoản của thành viên CNTT mà không yêu cầu mật khẩu hoặc mã hai yếu tố, khiến hacker có quyền truy cập hạn chế vào bảng điều khiển Okta của 1Password.
1Password cho biết vụ việc xảy ra vào ngày 29 tháng 9, hai tuần trước khi Okta tiết lộ chi tiết vụ việc.
Cloudflare cũng xác nhận trong một bài đăng trên blog vào thứ Sáu rằng tin tặc cũng đã xâm phạm hệ thống của họ bằng cách sử dụng mã thông báo phiên bị đánh cắp từ bộ phận hỗ trợ của Okta. Grant Bourzikas, giám đốc an ninh thông tin của Cloudflare, cho biết sự cố Cloudflare bắt đầu vào ngày 18 tháng 10 và “những kẻ đe dọa không có quyền truy cập vào bất kỳ hệ thống hoặc dữ liệu nào của chúng tôi”, phần lớn là do Cloudflare sử dụng các khóa bảo mật phần cứng có thể trốn tránh các cuộc tấn công lừa đảo.
Công ty bảo mật BeyondTrust cho biết họ cũng bị ảnh hưởng bởi vụ xâm nhập Okta nhưng cũng nhanh chóng ngăn chặn vụ xâm nhập này. BeyondTrust cho biết trong một bài đăng trên blog rằng họ đã thông báo cho Okta về vụ việc vào ngày 2 tháng 10, nhưng cáo buộc Okta đã không thừa nhận hành vi vi phạm trong gần ba tuần.
Đây là sự cố bảo mật mới nhất của Okta sau khi một phần mã nguồn của nó bị đánh cắp vào tháng 12 năm 2022 và tin tặc đã công bố ảnh chụp màn hình mạng nội bộ của Okta vào tháng 1 năm 2022.
Sau khi phóng viên bảo mật Brian Krebs lần đầu tiên báo cáo tin tức về lỗ hổng bảo mật, giá cổ phiếu của Okta đã giảm hơn 11% vào thứ Sáu, xóa sổ ra ít nhất 2 tỷ USD giá trị công ty.