Начальник службы безопасности Okta Дэвид Брэдбери в блоге компании опубликовал официальный ответ
Сервис Okta не был взломан и остается полностью работоспособным. Нет никаких корректирующих действий, которые должны быть предприняты клиентами сервиса.
В январе 2022 года Okta обнаружила безуспешную попытку компрометации учетной записи инженера службы поддержки, работающего на стороннего провайдера. В рамках обычных процедур Okta предупредила поставщика о ситуации, одновременно прервав активные сеансы и приостановив действие скомпрометированной учетной записи. После этих действий Okta предоставила информацию (включая подозрительные IP-адреса) частной исследовательской фирме для изучения последствий инцидента.
Из отчета о проведенном расследовании возможного взлома и проникновения выяснилось, что "в период с 16 по 21 января 2022 года злоумышленник получал доступ к ноутбуку инженера службы поддержки в течение пяти дней". Это согласуется со скриншотами, которые банда Lapsus$ выложила в Сеть, комментируя информацию о сливе данных из сервиса Okta.
Потенциальное влияние на клиентов Okta ограничено доступом, который имеют инженеры службы поддержки. Эти инженеры не могут создавать или удалять пользователей или загружать базы данных клиентов. Инженеры службы поддержки имеют доступ к ограниченным данным — например, тикеты Jira и списки пользователей, — которые были видны на скриншотах. Инженеры службы поддержки также могут облегчить сброс паролей и факторов многофакторной аутентификации для пользователей, но не могут получить эти пароли.
Okta активно продолжает расследование, в том числе выявляет и связывается с теми клиентами, которые могли быть затронуты в результате хакерской атаки. Компания обещает, что разбирательство ни как не повлияет на клиентов Auth0 и не затронет интересы клиентов HIPAA и FedRAMP.
Мы очень серьезно относимся к защите корпоративных данных и защите информации наших клиентов. Мы глубоко привержены прозрачности и будем сообщать о дополнительных обновлениях, когда они будут доступны.