Представители Okta слукавили о масштабе утечки данных: всё оказалось куда серьёзнее

20 октября 2023 года стало известно о крупном проникновении в систему клиентской поддержки компании Okta, специализирующейся на удостоверении личности и аутентификации.

Злоумышленники имели доступ к системе управления клиентскими обращениями Okta с конца сентября этого года, что позволило им красть токены аутентификации у некоторых клиентов и вносить изменения в их учётные записи, например, добавлять или изменять авторизованных пользователей.

Само проникновение, по официальной информации, было вызвано действиями сотрудника Okta, который сохранил учётные данные для входа в привилегированную учётную запись в своём личном аккаунте Google. Предположительно, эти данные были украдены при компрометации личного устройства сотрудника.

Изначально сообщалось , что хакеры получили доступ только к данным 134 клиентов из 18 тысяч, что составляет менее 1% от всей клиентской базы. Однако 29 ноября представители Okta обновили информацию , заявив, что злоумышленники также похитили имена и адреса электронной почты всех пользователей, зарегистрированных в системе поддержки клиентов, в том числе многих администраторов Okta, ответственных за интеграцию фирменной технологии аутентификации в клиентские среды.

Okta сообщила, что почти для 97 процентов пользователей единственной украденной контактной информацией были полные имя и адрес электронной почты. Однако для оставшихся трёх процентов учётных записей было раскрыто одно или несколько из следующих полей данных (в дополнение к имени и адресу электронной почты): последний вход в систему; имя пользователя; номер телефона; SAML-идентификатор; название компании; должностная роль; тип пользователя; дата последней смены пароля или сброса пароля.

Компания утверждает, что 6% её клиентов (более 1000) до сих пор продолжают использовать учётные записи администраторов без многофакторной аутентификации (MFA), что и стало фатальной ошибкой, также приведшей к компрометации. Okta подчеркивает необходимость использования MFA для надёжной защиты своих учётных записей.

Сторонние эксперты безопасности, прокомментировавшие взлом Okta, также указали на необходимость дополнительных мер контроля доступа, включая ограничения на IP-адреса и регулярное обновление токенов доступа. Кроме того, крайне важно запретить сотрудникам использовать личные аккаунты на рабочих устройствах, чтобы избежать повторения подобных ситуаций.