Okta révèle une cyberattaque plus large sur son système de support en octobre 2023

« L’acteur de la menace a téléchargé les noms et les adresses électroniques de tous les utilisateurs du système d’assistance à la clientèle d’Okta », a déclaré l’entreprise dans un communiqué transmis à The Hacker News.

En outre, l’adversaire aurait accédé à des rapports contenant les informations de contact de tous les utilisateurs certifiés d’Okta, de certains clients d’Okta Customer Identity Cloud (CIC) et d’informations non spécifiées sur les employés d’Okta. Toutefois, l’entreprise a souligné que les données ne comprenaient pas d’identifiants d’utilisateurs ou de données personnelles sensibles.

La nouvelle de l’élargissement de l’étendue de la brèche a d’abord été rapportée par Bloomberg. L’entreprise a également déclaré à la publication que, bien qu’elle n’ait aucune preuve que les informations volées aient été activement utilisées à mauvais escient, elle a pris la mesure de notifier à tous ses clients les risques potentiels d’hameçonnage et d’ingénierie sociale.

Elle a également déclaré qu’elle avait « ajouté de nouvelles fonctions de sécurité à nos plateformes et fourni à nos clients des recommandations spécifiques pour se défendre contre d’éventuelles attaques ciblées contre leurs administrateurs Okta ».
Okta, qui a demandé l’aide d’une société de criminalistique numérique pour soutenir son enquête, a également déclaré qu’elle « notifiera également les personnes dont les informations ont été téléchargées ».

Ce développement intervient plus de trois semaines après que le fournisseur de gestion d’identité et d’authentification a déclaré que la violation, qui a eu lieu entre le 28 septembre et le 17 octobre 2023, a affecté 1% – c’est-à-dire 134 – de ses 18 400 clients.

L’identité des acteurs de la menace à l’origine de l’attaque contre les systèmes d’Okta n’est actuellement pas connue, bien qu’un groupe de cybercriminels notoire appelé Scattered Spider ait ciblé l’entreprise pas plus tard qu’en août 2023 pour obtenir des autorisations d’administrateur élevées en réalisant des attaques d’ingénierie sociale sophistiquées.

Selon un rapport publié par ReliaQuest la semaine dernière, Scattered Spider s’est infiltré dans une entreprise anonyme et a accédé au compte d’un administrateur informatique via l’authentification unique (SSO) d’Okta, puis s’est déplacé latéralement du fournisseur de services d’identité en tant que service (IDaaS) à leurs actifs sur site en moins d’une heure.

Au cours des derniers mois, cet adversaire redoutable et agile s’est également transformé en un affilié du ransomware BlackCat, infiltrant les environnements en nuage et sur site pour déployer des logiciels malveillants de cryptage de fichiers afin de générer des profits illicites.