Okta descarta que los datos filtrados en el foro de piratería BreachForums pertenezcan a sus sistemas

La empresa de servicios de verificación y seguridad para terceros Okta ha descartado que los datos recientemente filtrados en el foro de piratería BreachForums por un actor malicioso identificado como Darknotevil pertenezcan a sus sistemas. Okta es un sistema que emplean varias organizaciones y gobiernos de diferentes partes del mundo como proveedor de inicio de sesión único (SSO, por sus siglas en inglés), así como por sus sistemas de autenticación multifactor (MFA). El director de seguridad de Okta, David Bradbury, confirmó en octubre de 2023 que un actor de amenazas había podido "ver archivos cargados por ciertos clientes Okta como parte de casos de soporte recientes" tras acceder a su sistema de gestión de soporte con credenciales robadas. Esta exposición de datos guardaba relación con los archivos HTTP (HAR), esto es, los que solicita la plataforma en su servicio de soporte y que incluyen sesiones de grabación de sus navegadores, que utilizan para diagnosticar problemas en su servicio. Estos archivos contienen datos confidenciales de los usuarios, incluidas 'cookies' o tokens de inicio de sesión, que los ciberdelincuentes podían usar para hacerse pasar por usuarios válidos. Tras realizar una investigación interna, la firma confirmó que los ciberdelincuentes obtuvieron datos de todos los usuarios del sistema de atención al cliente y que habían accedido a los expedientes de soporte con su información de contacto. Recientemente, un actor malicioso que se da a conocer con el alias Darknotevil ha afirmado en el foro de piratería BreachForums que ofrece una base de datos de clientes de Okta, mencionando que la firma "sufrió una filtración de datos que dejó expuestos datos de 3.800 usuarios de atención al cliente". En concreto, Darknotevil ha indicado que esta base está compuesta por nombres de usuario, correos electrónicos, nombres de las empresas de estos clientes, direcciones, últimos cambios o restablecimiento de contraseñas, números de teléfono y zonas horaria, entre otros datos. Un portavoz de Okta ha asegurado que esta base de datos no pertenece a sus sistemas y que tampoco "están asociados con el incidente de seguridad de octubre de 2023", en declaraciones recogidas por Bleeping Computer. La firma ha insistido en que no puede "determinar la fuente de estos datos o su exactitud", pero que ha observado que algunos de estos archivos tienen más de diez años de antiguedad. "Sospechamos que esta información puede pertenecer a fuentes de información pública disponibles en internet", ha añadido. Desde la empresa de ciberinteligencia KELA han indicado que los datos no pertenecen a Okta, sino que provienen de una empresa que sufrió una violación de datos en julio del año pasado por parte del actor de amenazas IntelBroker.