אוקטה מאשרת שהפריצה שחוותה רחבת היקף מהמשוער

מי ישמור על השומרים? בניגוד לניתוח הקודם שלה, אוקטה (Okta Security) אישרה בסוף השבוע שכל משתמשי מערכת תמיכת הלקוחות שלה הושפעו מתקרית האבטחה האחרונה שאותה היא חוותה.

חברת ניהול הזהויות והגישה חשפה כי אירוע האבטחה שקרה בחודש שעבר במערכת ניהול תיקי התמיכה שלה השפיע על כל המשתמשים. זאת, בניגוד לדיווחים קודמים, שבהם נמסר כי הפריצה פגעה רק ב-1% מהם.

דיוויד ברדבורי, מנהל האבטחה הראשי באוקטה, אישר כי ניתוח מחודש של האירוע העלה ממצאים חדשים, שונים ממה שעלה בניתוח מוקדם יותר. "אנחנו ממשיכים לבחון את הניתוח הראשוני שלנו, שעליו הודענו ב-3 בנובמבר, תוך בחינה מחדש של הפעולות שביצע שחקן האיום", אמר ברדבורי. לדבריו, "עלה מידע חדש שעלול להשפיע על אבטחת הלקוחות שלנו". המידע עלה לאחר שאנשי ה-IT והאבטחה בחברה ערכו שחזור ידני של דו"חות ששחקן האיום הפעיל על המערכת שלה, ובחנו את הקבצים שהוא גנב.

בדיווח הקודם נמסר כי "לאחר שסיימנו את החקירה שלנו, אנחנו מאשרים שמ-28 בספטמבר עד 17 באוקטובר 2023, שחקן איום השיג גישה לא מורשית לקבצים בתוך מערכת תמיכת הלקוחות של אוקטה. המערכת קשורה ל-134 לקוחות, המשקפים פחות מ-1% מהלקוחות שלנו. חלק מהקבצים הללו היו קבצי HAR שהכילו אסימוני הפעלה, אשר – בתורם – נוצלו לטובת המתקפה".

לפי העדכון האחרון של ברדבורי, "שחקן האיום הפעיל והוריד דו"חות המכילים שמות מלאים וכתובות מייל של כל לקוחות החברה, שעושים שימוש במערכות Okta Workforce Identity Cloud (WIC) ו-Customer Identity Solution (CIS)". לדבריו, "מערכת ניהול תיקי התמיכה Auth0/CIC שלנו, יחד עם סביבות FedRamp High ו-DoD IL4 שלה, הן סביבות שמשתמשות במערכת תמיכה אחרת, והן לא הושפעו מהאירוע".

מדוע אי ההתאמה?

הסיבה לאי ההתאמה בין שני הניתוחים, לדברי אוקטה, נבעה מכך ששחקן האיום הפעיל תצוגה מסוננת של הדו"ח שהייתה לו גישה אליו. מאוחר יותר הוברר כי סך הנתונים שנקצרו היה גדול בהרבה, ותאם את נתוני טלמטריית האבטחה של החברה.

אף שלאוקטה אין מידע ישיר על ניצול פעיל של התקרית, היא מזהירה את לקוחותיה מפני מתקפות פישינג או הנדסה חברתית. החברה המליצה על הטמעת מערכות אימות רב שלבי (MFA); הפעלת בקרות טובות יותר; שימוש באמצעי זיהוי של מאמתים שעמידים מפני התחזות; וכן הפעלה של 'תכונת גישה מוקדמת' במערכות החברה, שמחייבת מנהלי מערכת לבצע אימות מחדש.

אחד האנליסטים ציין כי "הפריצה לחברת האבטחה אוקטה היא בעיה רצינית, והיא מדגישה את החשיבות של אימות רב שלבי. גם בעת עבודה עם ספקיות תוכנה גדולות, משתמשים לא יכולים להיות בטוחים לחלוטין לגבי האבטחה. לכן, גם ארגונים וגם צרכנים צריכים להגן על עצמם מפני פישינג".

לא אירוע סייבר ראשון שאוקטה חוותה השנה

לאוקטה, שיושבת בסן פרנסיסקו, יש יותר מ-18 אלף לקוחות ארגוניים ברחבי העולם. לא ברור מי עמד מאחורי הפריצה. דובר החברה אמר כי אין בכוונתה לפרסם בפומבי את זהות קבוצת הפריצה.

יצוין כי לא מדובר באירוע הסייבר הראשון של אוקטה השנה: בינואר היא חוותה מתקפה דרך אחד הספקים של החברה. אז האירוע השפיע על "עד 366 לקוחות", לדבריה.