A finales de octubre, la plataforma de gestión de identidad Okta comenzó a notificar a sus usuarios sobre una violación de su sistema de atención al cliente. La compañía dijo en ese momento que alrededor del 1 por ciento de sus 18.400 clientes se vieron afectados por el incidente. Pero en una ampliación masiva de esta estimación esta mañana, Okta dijo que su investigación ha descubierto evidencia adicional de que, de hecho, todo A varios de sus clientes les robaron datos durante la infracción hace dos meses.
La estimación original del 1 por ciento estaba relacionada con la actividad en la que los atacantes utilizaron credenciales de inicio de sesión robadas para apoderarse de una cuenta de soporte de Okta que tenía algún acceso al sistema del cliente para solucionar problemas. Pero la compañía admitió el miércoles que su investigación inicial había pasado por alto otra actividad maliciosa en la que el atacante simplemente ejecutó una consulta automatizada de la base de datos que contiene nombres y direcciones de correo electrónico de «todos los usuarios del sistema de atención al cliente de Okta». Esto también incluía información sobre los empleados de Okta.
Si bien los atacantes solicitaron más datos que solo nombres y direcciones de correo electrónico (incluidos nombres de empresas, números de teléfono de contacto y los datos del último inicio de sesión y los últimos cambios de contraseña), Okta dice que «la mayoría de los campos del informe están en blanco y el informe no incluye credenciales de usuario ni datos personales sensibles. Para el 99,6 por ciento de los usuarios del informe, la única información de contacto registrada es el nombre completo y la dirección de correo electrónico”.
Los únicos usuarios de Okta que no se ven afectados por la infracción son los clientes de alta sensibilidad que deben cumplir con el Programa Federal de Gestión de Autorizaciones y Riesgos de los Estados Unidos o las restricciones de Nivel 4 de Impacto del Departamento de Defensa de los Estados Unidos. Okta proporciona una plataforma de soporte independiente para estos clientes.
Okta dice que no se dio cuenta de que todos los clientes se habían visto afectados por el incidente porque, si bien su investigación inicial analizó las consultas que los atacantes ejecutaron en el sistema, «el tamaño del archivo de un informe en particular descargado por el actor de la amenaza era mayor que el archivo generado durante nuestra investigación inicial”. En la evaluación inicial, cuando Okta regeneró el informe en cuestión como parte de seguir los pasos de los atacantes, no ejecutó un informe «sin filtrar», lo que habría arrojado más resultados. Esto significó que en el análisis inicial de Okta, había una discrepancia entre el tamaño del archivo que descargaron los investigadores y el tamaño del archivo que habían descargado los atacantes, según consta en los registros de la empresa.
Okta no respondió de inmediato a las solicitudes de WIRED de aclaración sobre por qué la compañía tardó un mes en ejecutar un informe sin filtrar y conciliar esta inconsistencia.