Компания Okta завершила расследование по факту взлома ее системы поддержки клиентов, произошедшего в прошлом месяце. Как оказалось, хакеры получили доступ к данным всех клиентов компании, а не 1% пользователей, как сообщалось изначально.
В конце октября текущего года компания Okta, крупный поставщик систем управления доступом и идентификацией, сообщила о взломе. Тогда в компании заявили, что хакеры использовали украденные учетные данные и получили доступ к файлам, содержащим cookie и токены сеансов, которые клиенты Okta загружали в ее систему поддержки.
В частности, в руки атакующих попали файлы HTTP Archive (HAR), которые нужны для воспроизведения возникающих у пользователей ошибок и используются в ходе устранении различных проблем. Эти файлы могут содержать конфиденциальные данные, включая cookies и токены сеансов, которые в итоге могли использоваться хакерами для захвата учетных записей клиентов Okta.
При этом в Okta уверяли, что в ходе атаки пострадали данные лишь 134 клиентов (менее 1% из 18 400 клиентов компании). Известно, что среди пострадавших были такие крупные компании, как BeyondTrust, специализирующаяся на управлении идентификацией, Cloudflare и менеджер паролей 1Password.
Как стало известно теперь, дальнейшее расследование последствий этого инцидента показало, что злоумышленники также «загрузили отчет, содержащий имена и адреса электронной почты всех пользователей системы поддержки клиентов Okta».
Украденный отчет включал такие поля, как полное имя, имя пользователя, электронная почта, название компании, тип пользователя, адрес, дата последнего изменения/сброса пароля, роль, номер телефона, номер мобильного телефона, часовой пояс и идентификатор федерации SAML.
Впрочем, Okta уточняет, что для 99,6% пользователей, перечисленных в упомянутом выше отчете, единственной доступной контактной информацией были полное имя и email-адрес. Кроме того, компания заверила, что учетные данные клиентов раскрыты не были.
Отмечается, что многие из пострадавших пользователей являлись администраторами, а 6% из них не использовали многофакторную аутентификацию для защиты от попыток несанкционированного входа.
Также в компании говорят, что «обнаружили дополнительные отчеты и кейсы поддержки, к которым получили доступ злоумышленники». Так, среди них были доступ к данным «сертифицированных пользователей Okta и некоторых контактов клиентов Okta Customer Identity Cloud (CIC)», и к информации о сотрудниках самой Okta.
Чтобы защититься от потенциальных атак, Okta рекомендует клиентам следующее:
Напомним, что это далеко не первый взлом Okta за последние годы. К примеру, в 2022 году хак-группа Lapsus$ скомпрометировала Okta, и тогда атака затронула около 2,5% клиентов компании (около 370 компаний). Позже представители компании выразили сожаление, что не раскрыли подробности об этом взломе сразу, а также поделились детальной подробной хронологией инцидента и его расследования.
Также в прошлом году одноразовые пароли (OTP), которые Okta отправляет клиентам посредством SMS, были украдены группой угроз Scatter Swine (она же 0ktapus), которая после этого взломала компанию Twilio в августе 2022 года.
В конце октября текущего года компания Okta, крупный поставщик систем управления доступом и идентификацией, сообщила о взломе. Тогда в компании заявили, что хакеры использовали украденные учетные данные и получили доступ к файлам, содержащим cookie и токены сеансов, которые клиенты Okta загружали в ее систему поддержки.
В частности, в руки атакующих попали файлы HTTP Archive (HAR), которые нужны для воспроизведения возникающих у пользователей ошибок и используются в ходе устранении различных проблем. Эти файлы могут содержать конфиденциальные данные, включая cookies и токены сеансов, которые в итоге могли использоваться хакерами для захвата учетных записей клиентов Okta.
При этом в Okta уверяли, что в ходе атаки пострадали данные лишь 134 клиентов (менее 1% из 18 400 клиентов компании). Известно, что среди пострадавших были такие крупные компании, как BeyondTrust, специализирующаяся на управлении идентификацией, Cloudflare и менеджер паролей 1Password.
Как стало известно теперь, дальнейшее расследование последствий этого инцидента показало, что злоумышленники также «загрузили отчет, содержащий имена и адреса электронной почты всех пользователей системы поддержки клиентов Okta».
Украденный отчет включал такие поля, как полное имя, имя пользователя, электронная почта, название компании, тип пользователя, адрес, дата последнего изменения/сброса пароля, роль, номер телефона, номер мобильного телефона, часовой пояс и идентификатор федерации SAML.
Впрочем, Okta уточняет, что для 99,6% пользователей, перечисленных в упомянутом выше отчете, единственной доступной контактной информацией были полное имя и email-адрес. Кроме того, компания заверила, что учетные данные клиентов раскрыты не были.
Отмечается, что многие из пострадавших пользователей являлись администраторами, а 6% из них не использовали многофакторную аутентификацию для защиты от попыток несанкционированного входа.
Также в компании говорят, что «обнаружили дополнительные отчеты и кейсы поддержки, к которым получили доступ злоумышленники». Так, среди них были доступ к данным «сертифицированных пользователей Okta и некоторых контактов клиентов Okta Customer Identity Cloud (CIC)», и к информации о сотрудниках самой Okta.
Чтобы защититься от потенциальных атак, Okta рекомендует клиентам следующее:
Напомним, что это далеко не первый взлом Okta за последние годы. К примеру, в 2022 году хак-группа Lapsus$ скомпрометировала Okta, и тогда атака затронула около 2,5% клиентов компании (около 370 компаний). Позже представители компании выразили сожаление, что не раскрыли подробности об этом взломе сразу, а также поделились детальной подробной хронологией инцидента и его расследования.
Также в прошлом году одноразовые пароли (OTP), которые Okta отправляет клиентам посредством SMS, были украдены группой угроз Scatter Swine (она же 0ktapus), которая после этого взломала компанию Twilio в августе 2022 года.
