Si Okta a pu limiter la casse grâce à son système d'authentification multi-facteurs lors de la dernière cyberattaque dont il a été victime, le fournisseur revient sur cette affaire avec des nouvelles peu réjouissantes. « Nous avons déterminé que l'acteur malveillant a exécuté et téléchargé un fichier qui contenait les noms et les adresses électroniques de tous les utilisateurs du système de support client Okta », a indiqué David Bradbury, RSSI d'Okta. « Tous les clients d'Okta Workforce Identity Cloud (WIC) et Customer Identity Solution (CIS) sont concernés, à l'exception des clients de nos environnements FedRamp High et DoD IL4. [...] Le système de gestion des cas de support Auth0/CIC n'a pas non plus été impacté par cet incident. [...] Nous avons également identifié des rapports supplémentaires et des cas de support auxquels l'acteur de la menace a accédé, qui contiennent des informations de contact de tous les utilisateurs certifiés d'Okta et de certains contacts de clients d'Okta Customer Identity Cloud (CIC), ainsi que d'autres informations. Certaines informations sur les employés d'Okta ont également été incluses dans ces rapports. Ces informations de contact n'incluent pas les identifiants des utilisateurs ou des données personnelles sensibles ».

Okta avait précédemment indiqué que les pirates avaient seulement été en mesure de visualiser des fichiers téléchargés par certains de ses clients dans le cadre de son support aux utilisateurs. Si pour 99,6 % des utilisateurs touchés, seuls les noms et e-mails sont désormais connus des pirates, pour 0,4 % d'entre eux d'autres informations comme les noms d'utilisateurs et les numéros de téléphone ont également été aspirés. L'éditeur n'a pas précisé le nombre de personnes concernées par ces vols de données mais un porte-parole de l'entreprise a indiqué à l'époque à TechCrunch que ce piratage avait touché moins de 1 % de ses clients, soit 134 entreprises. 

Des risques de phishing et d'attaques par ingénierie sociale

« Bien que nous n'ayons pas de connaissance directe ou de preuve que ces informations sont activement exploitées, il est possible que l'acteur de la menace utilise ces informations pour cibler les clients d'Okta par le biais d'attaques d'hameçonnage ou d'ingénierie sociale », a prévenu David Bradbury. Un risque à ne pas sous-estimer nécessitant aux clients et utilisateurs d'Okta de redoubler de vigilance pour éviter de tomber dans le piège de cyberattaquants.