Поставщик услуг идентификации Okta сообщил, что обнаружил "дополнительную активность субъекта угрозы" в связи со взломом в октябре 2023 года его системы управления обращениями в службу поддержки.
"Злоумышленник загрузил имена и адреса электронной почты всех пользователей системы поддержки клиентов Okta", - говорится в заявлении компании, опубликованном The Hacker News.
"Пострадали все клиенты Okta Workforce Identity Cloud (WIC) и Customer Identity Solution (CIS), за исключением клиентов в наших средах FedRAMP High и DoD IL4 (эти среды используют отдельную систему поддержки, к которой субъект угрозы НЕ имеет доступа). Этот инцидент не повлиял на систему управления обращениями в службу поддержки Auth0 / CIC."
Новости о расширенных масштабах нарушения были впервые сообщены агентством Bloomberg.
Компания также сообщила изданию, что, хотя у нее нет никаких доказательств активного неправомерного использования украденной информации, она предприняла шаги по уведомлению всех клиентов о потенциальных рисках фишинга и социальной инженерии.
Компания также заявила, что "внедрила новые функции безопасности на наши платформы и предоставила клиентам конкретные рекомендации по защите от потенциальных целевых атак на их администраторов Okta".
Okta, которая заручилась помощью фирмы цифровой криминалистики для поддержки своего расследования, далее заявила, что "также уведомит лиц, у которых была загружена их информация".
Разработка произошла более чем через три недели после того, как поставщик услуг по управлению идентификацией и аутентификацией заявил, что нарушение, произошедшее в период с 28 сентября по 17 октября 2023 года, затронуло 1%, то есть 134, из его 18 400 клиентов.
Личности злоумышленников, стоявших за атакой на системы Okta, в настоящее время неизвестны, хотя печально известная группа киберпреступников под названием Scattered Spider нацелилась на компанию совсем недавно, в августе 2023 года, чтобы получить повышенные права администратора путем проведения сложных атак социальной инженерии.
Согласно отчету, опубликованному ReliaQuest на прошлой неделе, Spider Spider проник в неназванную компанию и получил доступ к учетной записи ИТ-администратора через единый вход Okta (SSO), после чего менее чем за час перешел от поставщика identity-as-a-service (IDaaS) к их локальным ресурсам.
Грозный и проворный злоумышленник в последние месяцы также превратился в партнера программы-вымогателя BlackCat, проникающего в облачные и локальные среды для развертывания вредоносного ПО, шифрующего файлы, для получения незаконной прибыли.
"Текущая деятельность группы является свидетельством возможностей высококвалифицированного исполнителя угроз или группы, обладающих глубоким пониманием облачных и локальных сред, что позволяет им со знанием дела ориентироваться", - сказал исследователь ReliaQuest Джеймс Сян.
"Злоумышленник загрузил имена и адреса электронной почты всех пользователей системы поддержки клиентов Okta", - говорится в заявлении компании, опубликованном The Hacker News.
"Пострадали все клиенты Okta Workforce Identity Cloud (WIC) и Customer Identity Solution (CIS), за исключением клиентов в наших средах FedRAMP High и DoD IL4 (эти среды используют отдельную систему поддержки, к которой субъект угрозы НЕ имеет доступа). Этот инцидент не повлиял на систему управления обращениями в службу поддержки Auth0 / CIC."
Новости о расширенных масштабах нарушения были впервые сообщены агентством Bloomberg.
Компания также сообщила изданию, что, хотя у нее нет никаких доказательств активного неправомерного использования украденной информации, она предприняла шаги по уведомлению всех клиентов о потенциальных рисках фишинга и социальной инженерии.
Компания также заявила, что "внедрила новые функции безопасности на наши платформы и предоставила клиентам конкретные рекомендации по защите от потенциальных целевых атак на их администраторов Okta".
Okta, которая заручилась помощью фирмы цифровой криминалистики для поддержки своего расследования, далее заявила, что "также уведомит лиц, у которых была загружена их информация".
Разработка произошла более чем через три недели после того, как поставщик услуг по управлению идентификацией и аутентификацией заявил, что нарушение, произошедшее в период с 28 сентября по 17 октября 2023 года, затронуло 1%, то есть 134, из его 18 400 клиентов.
Личности злоумышленников, стоявших за атакой на системы Okta, в настоящее время неизвестны, хотя печально известная группа киберпреступников под названием Scattered Spider нацелилась на компанию совсем недавно, в августе 2023 года, чтобы получить повышенные права администратора путем проведения сложных атак социальной инженерии.
Согласно отчету, опубликованному ReliaQuest на прошлой неделе, Spider Spider проник в неназванную компанию и получил доступ к учетной записи ИТ-администратора через единый вход Okta (SSO), после чего менее чем за час перешел от поставщика identity-as-a-service (IDaaS) к их локальным ресурсам.
Грозный и проворный злоумышленник в последние месяцы также превратился в партнера программы-вымогателя BlackCat, проникающего в облачные и локальные среды для развертывания вредоносного ПО, шифрующего файлы, для получения незаконной прибыли.
"Текущая деятельность группы является свидетельством возможностей высококвалифицированного исполнителя угроз или группы, обладающих глубоким пониманием облачных и локальных сред, что позволяет им со знанием дела ориентироваться", - сказал исследователь ReliaQuest Джеймс Сян.
