Okta nie que les données de son entreprise aient été divulguées après qu’un acteur de la menace a partagé des fichiers prétendument volés lors d’une cyberattaque d’octobre 2023 sur un forum de pirates informatiques.

Okta est un fournisseur de solutions cloud de gestion des identités et des accès basé à San Francisco dont les services d’authentification unique (SSO), d’authentification multifacteur (MFA) et de gestion des accès API sont utilisés par des milliers d’organisations dans le monde entier.

En octobre 2023, Okta a averti que son système d’assistance avait été piraté par des pirates utilisant des informations d’identification volées, permettant aux attaquants de voler des cookies et l’authentification de certains clients. Une fois l’enquête interne terminée fin novembre, il a été révélé que l’incident avait touché tous les utilisateurs du système de support client.

Cet incident a augmenté le risque de violations pour plusieurs clients Okta, un cas notable étant une compromission ultérieure de l’un des serveurs Atlassian auto-hébergés de Cloudflare où les pirates ont utilisé des jetons d’accès volés lors de la violation d’Okta.

Samedi, un cybercriminel utilisant l’alias « Ddarknotevil » a affirmé publier une base de données Okta contenant des informations sur 3 800 clients volées lors de la violation de l’année dernière.

« Aujourd’hui, j’ai téléchargé la base de données Okta pour vous tous, Cette violation est partagée dans behife @IntelBroker – [Cyber ] merci d’avoir lu et profitez-en!, « un acteur de la menace a posté sur un forum de piratage. »

« En septembre 2023, Okta, une société de gestion de services informatiques, a subi une violation de données qui a conduit à l’exposition de 3,8 mille utilisateurs du support client. »

Les données divulguées incluent les identifiants d’utilisateur, les noms complets, les noms d’entreprise, les adresses de bureau, les numéros de téléphone, les adresses e-mail, les postes/rôles et d’autres informations.

Breachtrace a contacté Okta au cours du week-end pour demander si les réclamations étaient liées à l’incident d’octobre ou à toute autre violation non divulguée.

Aujourd’hui, l’entreprise a déclaré que les données ne lui appartenaient pas et semblaient provenir d’informations publiques sur Internet.

« Ce ne sont pas les données d’Okta, et elles ne sont pas associées à l’incident de sécurité d’octobre 2023 », a déclaré un porte-parole d’Okta à Breachtrace .

« Nous ne pouvons pas déterminer la source de ces données ni leur exactitude, mais nous avons noté que certains champs datent d’il y a plus de dix ans. Nous soupçonnons que ces informations peuvent être agrégées à partir de sources d’informations publiques sur Internet. »

Le porte-parole d’Okta a également confirmé à Breachtrace que l’équipe informatique de l’entreprise avait minutieusement enquêté sur tous les systèmes au cours du week-end et n’avait trouvé aucune preuve d’une violation.

La société de cyber-renseignement KELA a également examiné les données partagées et a corroboré de manière indépendante que les données n’appartenaient pas à Okta mais proviendraient d’une autre société piratée en juillet.

L’analyse par KELA des données et du nombre d’enregistrements a confirmé qu’il s’agissait des mêmes données qu’un vidage de juillet 2023 effectué par l’acteur de la menace « IntelBroker », qui prétendait les avoir volées au Centre de partage et d’analyse des informations de la Défense nationale.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *