Okta, un fournisseur de gestion d’identités et d’authentification, a publié vendredi un rapport d’autopsie sur une intrusion récente qui a donné aux pirates un accès administratif aux comptes Okta de certains de ses clients. Si le post-mortem met l’accent sur les transgressions d’un employé qui se connecte à un compte Google personnel sur un appareil professionnel, le facteur contributif le plus important était quelque chose que l’entreprise a sous-estimé: un compte de service mal configuré. Dans un post, le directeur de la sécurité d’Okta, David Bradbury, a déclaré que la façon la plus probable que l’acteur de la menace derrière l’attaque ait accédé à une partie du système de support client d’Okta était d’abord de compromettre un appareil personnel ou un compte Google personnel d’un employé et, de là, d’obtenir le nom d’utilisateur et le mot de passe d’un type spécial de compte, connu sous le nom de compte de service, utilisé pour se connecter à la segment de support du réseau Okta. Une fois que l’acteur de la menace avait accès, il pouvait obtenir des informations d’identification administratives pour entrer dans les comptes Okta appartenant à 1Password, BeyondTrust, Cloudflare et d’autres clients Okta. « Au cours de notre enquête sur une utilisation suspecte de ce compte, la sécurité d’Okta a identifié qu’un employé avait ouvert sa session sur son profil Google personnel dans le navigateur Chrome de son ordinateur géré par Okta », a écrit Bradbury. « Le nom d’utilisateur et le mot de passe du compte de service avaient été enregistrés dans le compte Google personnel de l’employé. La voie d’exposition la plus probable de cette information d’identification est le compromis du compte Google personnel ou de l’appareil personnel de l’employé ». Cela signifie que, lorsque l’employé s’est connecté au compte sur Chrome tout en étant authentifié sur le compte Google personnel, les informations d’identification ont été enregistrées dans ce compte, probablement via le gestionnaire de mots de passe intégré de Chrome. Ensuite, après avoir compromis le compte personnel ou l’appareil, l’acteur de la menace a obtenu les informations d’identification nécessaires pour accéder au compte Okta. L’accès aux comptes personnels dans une entreprise comme Okta est connu depuis longtemps comme étant un énorme problème. Et si cette interdiction n’était pas claire pour certains avant, elle devrait l’être maintenant. L’employé a presque certainement violé les règles de l’entreprise, et ce ne serait pas surprenant que cette infraction entraîne le licenciement de l’employé.
« Les livres de Penguin Random House disent maintenant explicitement ‘non’ à la formation IA »
‘Écrit par Emma Roth, dont le portfolio couvre aussi bien les percées technologiques grand public, les dynamiques de l’industrie du
