Okta sufrió otra infracción: esta roba datos de empleados de un proveedor externo

El proveedor de gestión de identidad y autenticación Okta se ha visto afectado por otra infracción, esta vez contra un proveedor externo que permitió a los piratas informáticos robar información personal de 5.000 empleados de Okta.

El compromiso se llevó a cabo a finales de septiembre contra Rightway Healthcare, un servicio que Okta utiliza para ayudar a los empleados y sus dependientes a encontrar proveedores de atención médica y tarifas de planes. Un actor de amenazas no identificado obtuvo acceso a la red de Rightway y se llevó un archivo del censo de elegibilidad que el proveedor mantenía en nombre de Okta. Okta se enteró del compromiso y el robo de datos el 12 de octubre y no lo reveló hasta el jueves, exactamente tres semanas después.

«Los tipos de información personal contenidos en el archivo del censo de elegibilidad afectado incluían su nombre, número de seguro social y número de plan de seguro médico o de salud», decía una carta enviada a los empleados afectados de Okta. «No tenemos pruebas que sugieran que su información personal haya sido utilizada indebidamente en su contra».

La carta, que es la primera vez que se revela el suceso, decía que Okta abrió una investigación inmediatamente después de enterarse del asunto. La investigación reveló que en el expediente robado se incluían datos de 4.961 empleados de Okta.

En un correo electrónico, un representante de Okta dijo que, según la información proporcionada por Rightway, el intruso primero obtuvo acceso al teléfono celular de un empleado de Rightway y luego usó ese acceso para cambiar las credenciales y tomar los archivos. Los archivos, que datan de abril de 2019 a 2020, fueron extraídos del entorno de TI de Rightway. La información personal pertenecía a los empleados de Okta y sus dependientes de 2019 y 2020. Okta también dijo que Rightway le informó que el compromiso involucraba a varios clientes de Rightway.

«Este incidente no está relacionado con el uso de los servicios de Okta y los servicios de Okta permanecen seguros», dijo el representante. «Este incidente no afecta a ningún dato de cliente de Okta».

Los representantes de Rightway no respondieron de inmediato a un correo electrónico en busca de comentarios y detalles adicionales sobre la violación.

La divulgación del jueves se produce dos semanas después de que Okta revelara que los piratas informáticos comprometieron su sistema de atención al cliente y obtuvieron credenciales que les permitieron tomar el control de las cuentas de administración internas de Okta de los clientes. Luego, los atacantes utilizaron esas credenciales en ataques posteriores dirigidos a las cuentas de administración interna de 1Password, BeyondTrust, Cloudflare y posiblemente a otros clientes.

Okta tiene su sede en San Francisco y proporciona identidad en la nube, gestión de acceso para inicio de sesión único, autenticación multifactor y servicios API a miles de organizaciones en todo el mundo. La empresa ha sido criticada anteriormente por violaciones de seguridad y su manejo posterior. Más recientemente, Cloudflare criticó a Okta por no expulsar a los intrusos de su red hasta el 18 de octubre, 16 días después de enterarse por primera vez del compromiso. Cloudflare instó a Okta a actuar más rápido en el futuro cuando se enterara de violaciones de seguridad, proporcionando divulgaciones antes y exigiendo el uso de claves de hardware para proteger los sistemas internos y los sistemas utilizados por proveedores de soporte externos.

«Para un proveedor de servicios de seguridad críticos como Okta, creemos que seguir estas mejores prácticas es algo en juego», escribieron los investigadores de Cloudflare.

El representante de Okta dijo en el correo electrónico del jueves que cuando la compañía se enteró del compromiso de Rightway el 12 de octubre, los investigadores tenían 27.000 registros para clasificar. Gran parte del proceso tuvo que realizarse manualmente y llevó tiempo completarlo.