Провайдерът на услуги за идентичност Okta разкри, че е забелязал „допълнителна активност на заплаха“ във връзка с нарушаването на системата за управление на случаите на поддръжка през октомври 2023 г.

„Заплахата изтегли имената и имейл адресите на всички потребители на системата за поддръжка на клиентите на Okta“, каза компанията в изявление, споделено с The Hacker News.

„Всички клиенти на Okta Workforce Identity Cloud (WIC) и Customer Identity Solution (CIS) са засегнати, освен клиентите в нашите FedRamp High и DoD IL4 средища (тези средища използват отделна система за поддръжка, която НЕ е достъпена от заплахата). Системата за управление на случаите на поддръжка за Auth0/CIC не беше засегната от този инцидент.“

Освен това се вярва, че нападателят е имал достъп до доклади, съдържащи контактна информация на всички сертифицирани потребители на Okta, на някои клиенти на Okta Customer Identity Cloud (CIC) и на неопределена информация за служителите на Okta. Въпреки това се подчертава, че данните не включват потребителски данни за идентификация или чувствителни лични данни.

Новината за разширения обхват на нарушението първо беше съобщена от Bloomberg.

Компанията също заяви за публикацията, че въпреки че няма доказателства за активна злоупотреба с  откраднатата информация, е предприела стъпка да уведоми всички клиенти за потенциални рискове от фишинг и социално инженерство.

Тя също така посочи, че е  „внедрила нови функции за сигурност в платформите  и е предоставила на клиентите конкретни препоръки за защита срещу възможни целеви атаки срещу техните администратори на Okta.“

Okta, която е наела дигитална фирма за криминалистичен анализ, за да подпомогне своето разследване, допълни, че „ще уведоми също и лицата, чиито информация е била изтеглена.“

Това идва повече от три седмици след като доставчикът на идентичност и управление на удостоверенията заяви, че нарушението, което се случило между 28 септември и 17 октомври 2023 г., засяга 1% – т.е. 134 – от неговите 18 400 клиенти.

Все още не се знае самоличността на заплахата зад атаката срещу системите на Okta, въпреки че известна киберпрестъпна група, наречена Scattered Spider, е насочила атаки към компанията в последно време, като през август 2023 г. се опитала да получи повишени административни права чрез извършване на изкусни атаки на социално инженерство.

Според доклад, публикуван от ReliaQuest наскоро, Scattered Spider инфилтрира безименна компания и получава достъп до акаунта на един администратор на ИТ чрез еднократно влизане в Okta (SSO), последвано от преместване от доставчика на идентичност-като-услуга (IDaaS) към техните активи във вътрешна мрежа за по-малко от един час.

Мощният и гъвкав опонент през последните месеци също се е превърнал в афилиран член на операцията BlackCat ransomware, инфилтрирайки облачни и вътрешни среди с цел разпространение на вредоносен софтуер за криптиране на файлове за генериране на незаконни печалби.

„Постоянната дейност на групата е доказателство за способностите на висококвалифицирана заплаха или група със сложно разбиране на облачни и вътрешни среди, което им позволява да навигират със сложност“, каза изследователят на ReliaQuest Джеймс Сианг.