Okta

A Crunchyroll, plataforma de streaming de anime, confirmou ter sido alvo de um ciberataque que resultou no roubo de dados de aproximadamente 6,8 milhões de usuários. O ataque foi realizado por um grupo de hackers que acessou a conta Okta de um agente de suporte, que trabalhava para a Telus International, uma empresa de terceirização. Durante 24 horas, os hackers conseguiram extrair cerca de 8 milhões de tickets de suporte, que incluíam endereços de e-mail, nomes de usuários, endereços IP e informações geográficas. Embora os dados de pagamento não tenham sido diretamente comprometidos, informações sensíveis dos usuários foram expostas. A Crunchyroll está colaborando com especialistas em cibersegurança para investigar o incidente e monitorar a situação. O atacante exigiu um resgate de US$ 5 milhões para não divulgar os dados roubados, mas a empresa não respondeu à demanda. A investigação está em andamento, e a Crunchyroll acredita que o acesso aos sistemas foi limitado ao incidente com o fornecedor terceirizado.

Uma nova campanha de roubo de identidade está em andamento, com foco nas credenciais de single sign-on (SSO) da Okta, visando cerca de 100 grandes empresas. O grupo de hackers conhecido como Scattered LAPSUS$ Hunters (SLH) está utilizando uma técnica sofisticada de vishing (phishing por voz) para obter acesso à infraestrutura corporativa e exfiltrar dados sensíveis, buscando extorquir as vítimas. Os pesquisadores da Silent Push descobriram que os atacantes estão usando um ‘Live Phishing Panel’, que permite interceptar credenciais e tokens de autenticação multifatorial (MFA) em tempo real durante as sessões de login. Embora não haja confirmação de que as empresas-alvo tenham sido comprometidas, o risco é significativo, pois uma sessão do Okta comprometida dá ao invasor acesso a todos os aplicativos do ambiente corporativo. A campanha destaca a necessidade de treinamento de segurança mais eficaz, já que os operadores do SLH são altamente persuasivos e manipulam páginas de phishing em tempo real para enganar as vítimas. As empresas mencionadas incluem nomes de destaque como Atlassian e GameStop, mas até o momento, não há evidências de que tenham sofrido brechas confirmadas.

A Okta, provedora de identidade em nuvem, emitiu um alerta sobre kits de phishing personalizados que estão sendo utilizados em ataques de engenharia social por voz, conhecidos como vishing. Esses kits, vendidos como parte de um modelo ‘as a service’, são utilizados por grupos de hackers para roubar credenciais de SSO (Single Sign-On) da Okta, Google e Microsoft, além de plataformas de criptomoedas. Diferente das páginas de phishing estáticas, esses kits permitem interação em tempo real, onde os atacantes podem manipular o conteúdo da página enquanto a vítima está em uma chamada. Ao inserir suas credenciais, essas informações são enviadas diretamente ao atacante, que tenta logar na conta da vítima enquanto ainda está na ligação. O ataque é altamente planejado, com os criminosos realizando reconhecimento sobre os alvos e utilizando números de telefone falsificados para se passar por suporte técnico. A Okta recomenda o uso de MFA resistente a phishing, como chaves de segurança FIDO2 e Okta FastPass, para mitigar esses riscos. Este tipo de ataque representa uma ameaça significativa, especialmente para empresas que dependem de serviços de SSO, pois pode levar ao roubo de dados sensíveis e extorsão.