Comment le piratage du service client d’Okta a exposé des données sensibles et des informations d’accès
Le leader en gestion d’identité Okta a révélé le 21 octobre une faille concernant son système de support client. La société a dévoilé qu’en résolvant les problèmes avec les clients, elle demanderait souvent un enregistrement de la session du navigateur web. Ce sont des fichiers sensibles, car ils incluent les cookies des clients et les jetons de session, auxquels des acteurs malveillants ont eu accès en utilisant une authentification volée.
Vous croyez que votre organisation est sécurisée. Mais pouvez-vous le vérifier?
Comme les équipes de support client gèrent régulièrement des informations extrêmement sensibles provenant à la fois des utilisateurs internes et externes, le piratage du système de support client d’Okta rappelle aux organisations qu’il est essentiel de veiller à ce que tous les fichiers de support client contenant du contenu client sensible soient régis et protégés avec un suivi complet, des contrôles et une sécurité. Lorsque ces données ne sont pas correctement sécurisées et partagées sur des canaux de communication qui peuvent être compromis, cela peut entraîner des violations de la conformité sécuritaire, des poursuites judiciaires, et un préjudice pour les individus.
Quelques-uns des risques incluent :
Exposition des données personnelles des clients. Les tickets de support, les transcriptions de chat en direct et le contenu envoyé par email contiennent souvent des informations personnelles telles que les noms, adresses, détails de compte, etc. Ces données peuvent être utilisées pour commettre un vol d’identité ou être vendues sur le web sombre si elles ne sont pas correctement chiffrées. Une sécurité adéquate est cruciale pour se conformer à des réglementations telles que le RGPD, CCPA, HIPAA et d’autres.
Le code source et la propriété intellectuelle vulnérables. Les équipes de développement et d’ingénierie partagent souvent le code source propriétaire et d’autres propriétés intellectuelles avec les représentants du support pour enquêter sur les bugs et autres problèmes. Ces données extrêmement précieuses doivent être protégées contre le vol et l’abus par les hackers grâce à des contrôles d’accès granulaires.
Les identifiants des employés en danger. Les noms d’utilisateur, mots de passe, clés API, tokens et autres identifiants sont fréquemment partagés sur les canaux de support client à des fins de dépannage. L’authentification multifactorielle offre une couche de protection importante contre les attaquants qui détournent ces identifiants.
Exposition de données internes sensibles. Les dossiers de RH, les documents financiers, les listes de clients, les plans stratégiques et plus encore sont couramment traités par les représentants du support. Ces données internes sensibles peuvent entraîner des poursuites judiciaires et des dommages concurrentiels si elles ne sont pas correctement sécurisées et en cas de violation.
L’accès au système conduit à des violations. Comme le montrent les violations récentes, les identifiants d’accès tels que les cookies de session et les clés API extraits des fichiers de support peuvent permettre aux criminels de se faire passer facilement pour des utilisateurs et de pénétrer dans des systèmes confidentiels. Le chiffrement est essentiel.
Comment les pirates ont obtenu l’accès au portail de support d’Okta
Selon les détails fournis par les chercheurs en cybersécurité, les pirates ont réussi à obtenir les identifiants de connexion d’un compte de support client Okta grâce à une violation précédemment non divulguée. Avec l’accès à ce compte compromis, les criminels pouvaient se connecter directement au portail de support client en ligne d’Okta et consulter les tickets de support et les fichiers téléchargés par les clients d’Okta. Il est important de noter ici que le système de gestion de support compromis est distinct du service de production d’Okta qui est pleinement opérationnel et n’a pas été affecté par l’atteinte au système de support client.
La principale méthode utilisée par les pirates pour extraire des informations client sensibles du système de support client d’Okta a été de télécharger les fichiers d’archive HTTP (HAR) attachés aux cas de support.
Les fichiers HAR sont essentiellement des enregistrements de sessions de navigation qui sont souvent partagés avec les représentants de support pour répliquer et résoudre des problèmes techniques. Ces fichiers peuvent contenir des informations extrêmement sensibles, y compris :
- Cookies d’authentification
- Clés API et jetons d’accès
- Noms d’utilisateur et mots de passe
- Informations personnelles identifiables telles que les noms, les adresses, etc.
- Code d’application propriétaire
- Documents et communications stratégiques
Avec l’accès aux fichiers HAR des clients, les acteurs malveillants ont obtenu des cookies de session actifs, des clés API et d’autres identifiants. Ils ont ensuite pu se faire passer pour de vrais utilisateurs et accéder à des systèmes et des données confidentiels des clients d’Okta.
Comment la violation d’Okta a été découverte
La violation a été initialement signalée par BeyondTrust le 2 octobre. L’incident a commencé lorsque BeyondTrust a détecté une attaque tentant d’accéder à un compte administrateur Okta interne en utilisant un cookie de session volé valide. BeyondTrust a détecté les attaquants détournant une session utilisateur active d’un fichier HAR de support pour tenter de créer un accès administratif clandestin à leur portail Okta. Un autre client impacté, Cloudflare, a découvert que les pirates ont utilisé des clés API volées d’un fichier HAR d’un employé pour accéder de manière inappropriée à certains de ses systèmes.
La violation du système de support client Okta met en lumière le risque croissant des cyberattaques sur la chaîne d’approvisionnement et explique pourquoi les attaques sur la chaîne d’approvisionnement sont devenues un vecteur privilégié pour les cybercriminels. Le rapport 2023 d’IBM sur le coût d’une violation de données a révélé que 12% des violations de données de l’année précédente impliquaient la chaîne d’approvisionnement logicielle. En même temps, 15% des violations de données impliquaient des partenaires commerciaux tiers, avec des violations de données de partenaires commerciaux coûtant presque 12% de plus que la violation de données moyenne.
Pourquoi ces violations de données sont-elles pires? Les fournisseurs et les vendeurs ont souvent des privilèges d’accès étendus aux réseaux, aux données et aux applications des clients. Cela en fait une première étape attrayante pour les pirates pour infiltrer les organisations cibles. Une fois à l’intérieur des systèmes d’un fournisseur ou d’un vendeur, les attaquants peuvent utiliser des voies d’accès de confiance pour se déplacer latéralement et compromettre discrètement les clients en aval. Comme cet accès provient d’un tiers légitime, il peut plus facilement échapper aux contrôles de sécurité. De plus, avec les attaques sur la chaîne d’approvisionnement logicielle, les acteurs malveillants peuvent accéder à des centaines voire des milliers de systèmes et de données d’Entreprise.
Pourquoi les plateformes de support modernes doivent être sécurisées
Cette violation souligne les risques immenses liés aux systèmes de support client en 2023. Les équipes de support client modernes gèrent des informations incroyablement sensibles provenant à la fois des utilisateurs internes et externes. Quelques-uns des risques comprennent :
Exposition des données personnelles des clients
Les tickets de support, les transcriptions de chat en direct et le contenu envoyé par e-mail contiennent souvent des informations personnelles comme les noms, les adresses, les détails des comptes, etc. Ces données peuvent être utilisées pour l’usurpation d’identité ou être vendues sur le dark web. Un chiffrement approprié est crucial pour la conformité avec des réglementations comme le RGPD, le CCPA, le HIPAA, et d’autres.
Code source et propriété intellectuelle vulnérables
Les équipes de développement et d’ingénierie partagent souvent du code source propriétaire et d’autres propriétés intellectuelles avec les représentants du support pour enquêter sur les bugs et autres problèmes. Ces données extrêmement précieuses doivent être protégées contre le vol et l’abus par les hackers.
Risque pour les identifiants des employés
Les noms d’utilisateur, les mots de passe, les clés API, les jetons et autres identifiants sont fréquemment partagés sur les canaux de support client à des fins de dépannage. Les attaquants peuvent les utiliser pour accéder aux systèmes et aux données internes de l’entreprise. L’authentification multifactorielle offre une couche de protection supplémentaire pour atténuer le vol d’identifiants.
Exposition des données internes sensibles
Les dossiers RH, les documents financiers, les listes de clients, les plans stratégiques et plus encore sont couramment traités par les représentants du support. Ces données internes sensibles peuvent entraîner des violations de la conformité, des poursuites judiciaires et des dommages compétitifs si elles ne sont pas correctement sécurisées et en cas de violation.
Les identifiants système ouvrent les portes
Comme l’a démontré cette violation d’Okta, les identifiants d’accès tels que les cookies de session et les clés API extraites des fichiers de support peuvent permettre aux criminels de se faire passer facilement pour des utilisateurs et de pénétrer dans des systèmes confidentiels. Le chiffrement de ces données est essentiel.
Capacités de sécurité essentielles pour le support client
Pour prévenir les violations impliquant les systèmes de support client, les organisations ont besoin de solutions qui incorporent :
Chiffrement complet du contenu
Tout le contenu transmis et stocké au sein des plates-formes de support client doit être chiffré de bout en bout à l’aide de normes fortes comme AES-256. Ceci fournit un filet de sécurité critique si les systèmes sont compromis par des attaquants.
Contrôles d’accès granulaires
Les contrôles d’accès fins sur le contenu permettent aux entreprises d’appliquer le principe du moindre privilège sur une base de besoins. Cela limite les dommages en cas de vol des identifiants des employés.
Journalisation détaillée des activités
Les journaux détaillés enregistrant tous les accès, partages, téléchargements, suppressions, etc., sur les plates-formes de support client sont essentiels pour détecter les abus et répondre aux exigences de reporting de conformité.
Intégrations d’applications natives
Des intégrations transparentes avec des outils couramment utilisés tels que le courrier électronique, Salesforce, Slack, Zendesk et d’autres permettent des flux de travail de contenu sécurisés sans changer les processus des utilisateurs. Les outils ajoutés mènent à des contournements risqués.
Certifications de conformité valides
Des audits à jour tels que SOC 2, ISO 27001, FedRAMP et HIPAA démontrent que les plateformes répondent à des normes de sécurité rigoureuses pour la gestion des données sensibles.
Comment Kiteworks sécurise le contenu sensible du support client
Kiteworks propose une plateforme de communications de contenu conçue spécifiquement pour offrir des contrôles de sécurité rigoureux adaptés aux équipes de support client modernes. Voici quelques-unes des capacités principales :
Le chiffrement de classe mondiale protège les données
Kiteworks exploite le chiffrement AES-256 bits de premier plan de l’industrie pour sécuriser les communications du service client en transit et au repos. Ce chiffrement de niveau militaire rend essentiellement le contenu compromis inutile et illisible pour les parties non autorisées. Kiteworks gère les clés de chiffrement de manière propriétaire hautement sécurisée. Toutes les opérations de chiffrement sont entièrement gérées sur l’infrastructure propre du client pour une sécurité optimale.
Les politiques d’accès granulaires limitent l’exposition des données
Kiteworks permet aux administrateurs de configurer des politiques d’accès contextuelles en fonction des rôles des utilisateurs, des attributs du contenu et d’autres variables. Cela permet des restrictions précises sur l’accès aux données confidentielles basées sur le principe du moindre privilège. Par exemple, les politiques peuvent restreindre quels représentants du support peuvent voir certains types d’informations sensibles des clients ou des documents internes en fonction de leur juridiction, niveau d’autorisation, type de cas, et d’autres facteurs. Cela minimise les dommages si les identifiants sont compromis.
Les journaux d’audit d’activité complets détectent les menaces
Kiteworks enregistre automatiquement toute l’activité des utilisateurs, du contenu et du système au sein de la plateforme, créant des journaux d’audit complets. Cela permet aux organisations de surveiller l’accès aux communications sensibles et de répondre aux exigences de reporting de conformité. Les journaux d’audit enregistrent des opérations sensibles comme les téléchargements de contenu, les téléchargements, les suppressions, les modifications de politique, les connexions, et les modifications de permission. Les alertes signalent automatiquement l’activité suspecte pour enquête.
Intégration étroite avec les systèmes existants
La plateforme Kiteworks est profondément intégrée avec Salesforce Service Cloud et d’autres applications d’entreprise. Cela permet des flux de travail de support client transparents sans interruption. Les représentants du support peuvent partager efficacement les communications directement au sein d’outils familiers sans contournements manuels risqués comme le téléchargement et la re-téléchargement de contenu sensible qui peuvent exposer les données.
Rigoureusement auditée pour la conformité de sécurité
Kiteworks maintient des audits et des certifications rigoureuses de tiers, notamment FedRAMP, IRAP, SOC 2 Type II, HIPAA, ISO 27001, et PCI DSS pour valider sa posture de sécurité. Les clients peuvent vérifier que Kiteworks répond à des contrôles étendus pour la protection des données sensibles. Les rapports de conformité offrent une transparence sur les politiques, procédures et contrôles de sécurité pertinents. Les clients peuvent fournir ces rapports à des auditeurs, régulateurs et partenaires pour démontrer des garanties de données rigoureuses.
Support client moderne pour les communications sensibles
La faille d’Okta rappelle de manière frappante les risques énormes que les plateformes de support client créent lorsqu’elles gèrent des données clients hautement confidentielles, du code source, des identifiants et d’autres informations sensibles. Les solutions modernes comme celle de Kiteworks sont spécifiquement conçues pour verrouiller ces canaux contre tout accès non autorisé en fournissant un chiffrement de niveau militaire, des contrôles d’accès granulaires, une surveillance des activités, des certifications de sécurité et une infrastructure privée sur site. En exploitant ces technologies, les entreprises peuvent équiper en toute sécurité les équipes de support client des outils dont elles ont besoin pour offrir un excellent service sans exposer d’importantes quantités de données sensibles.
Pour voir la plateforme Kiteworks en action, planifiez une démo adaptée à vos besoins dès aujourd’hui.
Ressources supplémentaires
- Résumé La seule solution de transfert sécurisé de fichiers moderne et sécurisée
- Résumé L’appliance virtuelle durcie de Kiteworks offre de multiples couches de sécurité
- Résumé Lutter contre les fuites de données pour exploiter l’évolution de l’IA
- eBook 14 cas d’utilisation de la souveraineté des données en matière de communication de contenu sensible
- eBook 12 cas d’utilisation du transfert sécurisé de fichiers avec Kiteworks
- Rapport Évaluez vos communications de données par email et fichier tiers