Thành phố, khách sạn, điểm đến08-09 Nov, 2 Khách, 1 đêm
Tìm kiếm
Ngày đến Fri, Nov 08
1
Ngày vềSat, Nov 09
Số phòng, số khách1 phòng, 2 người lớn, 0 trẻ em

Tấn Công Okta Ảnh Hưởng Đến Tất Cả Người Dùng Hỗ Trợ Khách Hàng—Không Phải 1 Phần Trăm

Bởi: Minprice.com
26/03/20240like

Vào cuối tháng 10, nền tảng quản lý danh tính Okta bắt đầu thông báo cho người dùng về cuộc tấn công vào hệ thống hỗ trợ khách hàng của mình. Công ty cho biết vào thời điểm đó, khoảng 1 phần trăm trong tổng số 18,400 khách hàng của họ bị ảnh hưởng bởi sự cố. Nhưng vào sáng sớm hôm nay, Okta công bố một sự mở rộng lớn về ước lượng này, nói rằng cuộc điều tra của họ đã phát hiện thêm bằng chứng rằng, thực tế, tất cả khách hàng của họ đã có dữ liệu bị đánh cắp trong cuộc tấn công cách đây hai tháng.

Ước lượng ban đầu 1 phần trăm liên quan đến hoạt động trong đó những kẻ tấn công sử dụng thông tin đăng nhập đánh cắp để tiếp quản một tài khoản hỗ trợ Okta có quyền truy cập vào hệ thống của khách hàng để sửa lỗi. Nhưng công ty đã thừa nhận vào thứ Tư rằng cuộc điều tra ban đầu của họ đã bỏ sót các hoạt động độc hại khác, trong đó kẻ tấn công chỉ chạy một truy vấn tự động của cơ sở dữ liệu chứa tên và địa chỉ email của “tất cả người dùng hệ thống hỗ trợ khách hàng của Okta.” Điều này cũng bao gồm một số thông tin nhân viên Okta.

Trong khi những kẻ tấn công tìm kiếm nhiều dữ liệu hơn chỉ là tên và địa chỉ email—bao gồm tên công ty, số điện thoại liên hệ và dữ liệu về lần đăng nhập cuối cùng và lần thay đổi mật khẩu cuối cùng—Okta nói rằng “đa số các trường trong báo cáo đều trống và báo cáo không bao gồm thông tin đăng nhập hoặc dữ liệu cá nhân nhạy cảm. Đối với 99,6 phần trăm người dùng trong báo cáo, thông tin liên hệ duy nhất được ghi lại là họ tên đầy đủ và địa chỉ email.”

Không Xác Định

Những người dùng Okta không bị ảnh hưởng duy nhất bởi cuộc tấn công là những khách hàng có độ nhạy cao phải tuân theo chương trình Quản lý Rủi Ro và Ủy quyền Quản lý Cấp độ 4 của Bộ Quốc phòng Hoa Kỳ hoặc các hạn chế cấp độ 4 của Bộ Quốc phòng Hoa Kỳ. Okta cung cấp một nền tảng hỗ trợ riêng biệt cho những khách hàng này.

Okta cho biết họ không nhận ra rằng tất cả khách hàng đều bị ảnh hưởng bởi sự cố vì, trong khi cuộc điều tra ban đầu của họ đã xem xét các truy vấn mà kẻ tấn công chạy trên hệ thống, “kích thước tệp của một báo cáo cụ thể được tải xuống bởi nhóm đe dọa lớn hơn so với tệp được tạo ra trong cuộc điều tra ban đầu của chúng tôi.” Trong đánh giá ban đầu, khi Okta tái tạo lại báo cáo cụ thể đó như là một phần của việc đi theo dấu của kẻ tấn công, họ không chạy một báo cáo “chưa lọc,” sẽ trả lại nhiều kết quả hơn. Điều này có nghĩa là trong phân tích ban đầu của Okta, có sự không nhất quán giữa kích thước tệp mà các nhà điều tra tải xuống và kích thước tệp mà nhóm tấn công đã tải xuống, như được ghi lại trong nhật ký của công ty.

Okta không ngay lập tức đáp ứng các yêu cầu của MINPRICE để làm rõ vì sao mất một tháng cho công ty để chạy một báo cáo chưa lọc và điều này không nhất quán.

Jake Williams, một thành viên trong Viện An ninh Mạng Ứng dụng chuyên về ứng phó sự cố an ninh doanh nghiệp, nói rằng không có gì lạ khi các công ty mất thêm thời gian để điều tra các bất thường được đánh dấu trong cuộc điều tra an ninh ban đầu. Anh ta nói rằng điều này một phần là do thách thức của việc đánh giá toàn diện tất cả các bằng chứng, nhưng cũng có thể là một chiến thuật để tránh tiết lộ bất cứ điều gì không cần thiết dưới yêu cầu của quy định.

Trong trường hợp của Okta, tuy nhiên, công ty đã bị kiểm tra ngay từ trước do rủi ro tồn tại trong công việc của họ như một dịch vụ quản lý danh tính, cũng như sự thật rằng công ty đã trải qua các vụ vi phạm trước đó và thông báo mờ nhạt về tác động thực sự của chúng.

“Tôi nghĩ vụ này quá nổi bật, và sự không nhất quán dễ dàng nhận thấy, nên họ đã rủi ro vấn đề với Ủy ban Chứng khoán và Giao dịch Mỹ bằng cách không tiết lộ nó sớm hơn,” Williams nói. “Với Okta, bạn đợi đến khi chiếc giày còn lại rơi xuống, nhưng sau đó nó còn có vẻ như họ còn có giày thứ ba và thứ tư somehow.”

Như nhiều công ty khác thường làm, Okta cho biết họ không có “kiến thức trực tiếp hoặc bằng chứng cho việc thông tin này đang được khai thác một cách tích cực.” Nhưng vào ngày thứ Tư, công ty nhấn mạnh rằng có khả năng cao dữ liệu bị đánh cắp sẽ được sử dụng để kích thích các cuộc tấn công lừa đảo, và khuyến cáo liên tục rằng tất cả khách hàng và các quản trị viên của họ bật chế độ xác minh đa yếu tố cho tài khoản của họ nếu họ chưa thực hiện.