Omar Marques/SOPA Images/LightRocket a través de Getty Images El proveedor de gestión de identidad y autenticación Okta publicó el viernes un informe de autopsia sobre una violación reciente que dio a los piratas informáticos acceso administrativo a las cuentas de Okta de algunos de sus clientes. Si bien la autopsia enfatiza las transgresiones de un empleado que inicia sesión en una cuenta personal de Google en un dispositivo de trabajo, el factor que más contribuyó fue algo que la empresa subestimó: una cuenta de servicio mal configurada. En una publicación, el director de seguridad de Okta, David Bradbury, dijo que la forma más probable en que el actor de amenazas detrás del ataque obtuvo acceso a partes del sistema de atención al cliente de su empresa fue comprometiendo primero el dispositivo personal de un empleado o la cuenta personal de Google y, desde allí, obteniendo el nombre de usuario y la contraseña para una forma especial de cuenta, conocida como cuenta de servicio, que se utiliza para conectarse al segmento de soporte de la red Okta. Una vez que el actor de amenazas tuvo acceso, pudo obtener credenciales administrativas para ingresar a las cuentas de Okta pertenecientes a 1Password, BeyondTrust, Cloudflare y otros clientes de Okta. Pasar la pelota «Durante nuestra investigación sobre el uso sospechoso de esta cuenta, Okta Security identificó que un empleado había iniciado sesión en su perfil personal de Google en el navegador Chrome de su computadora portátil administrada por Okta», escribió Bradbury. “El nombre de usuario y la contraseña de la cuenta de servicio se guardaron en la cuenta personal de Google del empleado. La vía más probable para la exposición de esta credencial es el compromiso de la cuenta personal de Google o del dispositivo personal del empleado”. Anuncio Esto significa que cuando el empleado inició sesión en la cuenta en Chrome mientras estaba autenticado en la cuenta personal de Google, las credenciales se guardaron en esa cuenta, muy probablemente a través del administrador de contraseñas integrado de Chrome. Luego, después de comprometer la cuenta o dispositivo personal, el actor de amenazas obtuvo las credenciales necesarias para acceder a la cuenta de Okta. Se sabe desde hace mucho tiempo que acceder a cuentas personales en una empresa como Okta es un gran no-no. Y si esa prohibición no estaba clara para algunos antes, debería estarlo ahora. Es casi seguro que el empleado violó la política de la empresa y no sería sorprendente que el delito condujera al despido del empleado. Sin embargo, sería un error que cualquiera concluyera que la mala conducta de los empleados fue la causa del incumplimiento. No lo fue. La culpa, en cambio, recae en el personal de seguridad que diseñó el sistema de soporte que fue violado, específicamente la forma en que se configuró la cuenta de servicio violada. Una cuenta de servicio es un tipo de cuenta que existe en una variedad de sistemas operativos y marcos. A diferencia de las cuentas de usuario estándar, a las que acceden humanos, las cuentas de servicio están reservadas principalmente para automatizar funciones de máquina a máquina, como realizar copias de seguridad de datos o análisis antivirus todas las noches a una hora determinada. Por esta razón, no se pueden bloquear con autenticación multifactor como lo hacen las cuentas de usuario. Esto explica por qué no se configuró MFA en la cuenta. La infracción, sin embargo, subraya varias fallas que no recibieron la atención que merecían en la publicación del viernes.

Source link