Los hackers atacan a la firma de autenticación Okta, los clientes "pueden haber sido impactados

Okta Inc, cuyos servicios de autenticación son utilizados por empresas como Fedex Corp y Moody's Corp para proporcionar acceso a sus redes, dijo el martes que había sido atacada por piratas informáticos y que algunos clientes podrían haberse visto afectados.

El alcance de la brecha aún no está claro, pero podría tener consecuencias importantes porque miles de empresas confían en Okta, con sede en San Francisco, para gestionar el acceso a sus redes y aplicaciones.

El director de seguridad, David Bradbury, dijo en una publicación en su blog que un ingeniero de soporte al cliente que trabaja para un contratista externo tuvo acceso a su ordenador por parte de los hackers durante un período de cinco días a mediados de enero y que "el impacto potencial para los clientes de Okta se limita al acceso que tienen los ingenieros de soporte."

"No hay acciones correctivas que deban ser tomadas por nuestros clientes", dijo.

No obstante, Bradbury reconoció que los ingenieros de soporte pudieron ayudar a restablecer las contraseñas y que algunos clientes "pueden haberse visto afectados". Dijo que la empresa estaba en proceso de identificar y contactar con ellos.

La naturaleza de ese impacto no estaba clara y Okta no respondió inmediatamente a un correo electrónico en el que se preguntaba cuántas organizaciones estaban potencialmente afectadas o cómo cuadraba eso con el consejo de Okta de que los clientes no necesitaban tomar medidas correctivas.

Las acciones de la empresa bajaban un 1,3%, a 167,14 dólares, en las operaciones de la tarde, desde los mínimos anteriores.

En su página web, Okta se describe a sí misma como el "proveedor de identidad para Internet" y dice que tiene más de 15.000 clientes en su plataforma.

Compite con empresas de la talla de Microsoft Corp, PingID, Duo, SecureAuth e IBM en la prestación de servicios de identidad como el inicio de sesión único y la autenticación multifactorial, utilizados para ayudar a los usuarios a acceder de forma segura a las aplicaciones y sitios web en línea.

"ESTAR MUY ATENTOS

La declaración de Okta se produce tras la publicación de una serie de capturas de pantalla de las comunicaciones internas de Okta por parte de un grupo de piratas informáticos que buscan un rescate, conocidos como Lapsus$, en su canal de Telegram a última hora del lunes.

En un mensaje adjunto, el grupo dijo que su objetivo era "SOLO los clientes de Okta".

Lapsus$ respondió a la declaración de Okta el martes diciendo que la empresa estaba tratando de minimizar la importancia de la brecha.

Algunos observadores externos tampoco quedaron impresionados con la explicación de Okta.

"En mi opinión, parece que están intentando restar importancia al ataque en la medida de lo posible, llegando incluso a contradecirse directamente en sus propias declaraciones", dijo Bill Demirkapi, un investigador de seguridad independiente.

Dan Tentler, fundador de la consultora de ciberseguridad Phobos Group, dijo anteriormente a Reuters que los clientes de Okta deberían "estar muy atentos ahora mismo".

Ya había indicios de que los clientes de Okta estaban tomando medidas para revisar su seguridad.

La empresa de infraestructura web Cloudflare emitió una explicación detallada https://blog.cloudflare.com/cloudflare-investigation-of-the-january-2022-okta-compromise de cómo reaccionó a la brecha de Okta y dijo que la empresa no creía haber sido comprometida como resultado.

FedEx dijo en un comunicado que también estaba investigando y que "actualmente no tenemos indicios de que se haya accedido a nuestro entorno o se haya visto comprometido". Moody's no devolvió un mensaje en busca de comentarios.

Lapsus$ es un participante relativamente nuevo en el abarrotado mercado del ransomware, pero ya ha hecho olas con hacks de alto perfil y un comportamiento que busca la atención.

El grupo comprometió los sitios web del conglomerado de medios de comunicación portugués Impresa a principios de este año, tuiteando la frase "Lapsus$ es ahora el nuevo presidente de Portugal" desde las cuentas de Twitter de uno de los periódicos. Los medios de comunicación propiedad de Impresa describieron el hackeo como un ataque a la libertad de prensa.

El mes pasado, el grupo filtró en la red información confidencial sobre el fabricante de chips estadounidense Nvidia Corp.

Más recientemente, el grupo ha afirmado haber filtrado el código fuente de varias grandes empresas tecnológicas, incluida Microsoft. En una entrada del blog https://www.microsoft.com/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction publicada el martes y dedicada a Lapsus$, la firma de software confirmó que una de sus cuentas había sido comprometida, "obteniendo un acceso limitado".

Los hackers no respondieron a un mensaje dejado en su chat de grupo de Telegram en busca de comentarios.