Identiteitsdienstverlener Oké heeft bekendgemaakt dat het “aanvullende activiteiten van bedreigingsactoren” heeft gedetecteerd in verband met de inbreuk in oktober 2023 op zijn ondersteuningsbeheersysteem.
“De bedreigingsacteur heeft de namen en e-mailadressen gedownload van alle gebruikers van het Okta-klantenondersteuningssysteem”, zei het bedrijf in een verklaring gedeeld met The Hacker News.
“Alle klanten van Okta Workforce Identity Cloud (WIC) en Customer Identity Solution (CIS) worden getroffen, behalve klanten in onze FedRamp High- en DoD IL4-omgevingen (deze omgevingen gebruiken een afzonderlijk ondersteuningssysteem dat NIET toegankelijk is voor de bedreigingsacteur). De Auth0/CIC-ondersteuning het casemanagementsysteem werd niet beïnvloed door dit incident.”
Nieuws over de uitgebreide reikwijdte van de inbreuk werd voor het eerst gemeld door Bloomberg.
Het bedrijf vertelde de publicatie ook dat het, hoewel het geen enkel bewijs heeft dat de gestolen informatie actief wordt misbruikt, de stap heeft gezet om alle klanten op de hoogte te stellen van mogelijke phishing- en social engineering-risico’s.
Het verklaarde ook dat het “nieuwe beveiligingsfuncties naar onze platforms heeft gepusht en klanten specifieke aanbevelingen heeft gegeven ter verdediging tegen mogelijke gerichte aanvallen op hun Okta-beheerders.”
Okta, dat de hulp heeft ingeroepen van een digitaal forensisch bedrijf om zijn onderzoek te ondersteunen, zei verder dat het “ook individuen op de hoogte zal stellen waarvan de informatie is gedownload.”
De ontwikkeling komt ruim drie weken nadat de aanbieder van identiteits- en authenticatiebeheer zei dat de inbreuk, die plaatsvond tussen 28 september en 17 oktober 2023, 1% – dat wil zeggen 134 – van zijn 18.400 klanten trof.
De identiteit van de bedreigingsactoren achter de aanval op de systemen van Okta is momenteel niet bekend, hoewel een beruchte cybercriminaliteitsgroep genaamd Scattered Spider het bedrijf pas in augustus 2023 heeft aangevallen om verhoogde beheerdersrechten te verkrijgen door geavanceerde social engineering-aanvallen uit te voeren.
Volgens een rapport dat vorige week door ReliaQuest werd gepubliceerd, infiltreerde Scattered Spider een niet bij naam genoemd bedrijf en kreeg toegang tot het account van een IT-beheerder via Okta single sign-on (SSO), gevolgd door een laterale overstap van de identiteit-as-a-service (IDaaS) provider naar hun on-premise activa in minder dan een uur.
De formidabele en behendige tegenstander is de afgelopen maanden ook uitgegroeid tot een partner voor de BlackCat-ransomware-operatie, waarbij hij in de cloud en op locatie infiltreert om bestandsversleutelende malware in te zetten om illegale winsten te genereren.
“De voortdurende activiteiten van de groep zijn een bewijs van de capaciteiten van een zeer bekwame dreigingsacteur of -groep met een ingewikkeld begrip van cloud- en on-premise-omgevingen, waardoor ze geavanceerd kunnen navigeren”, aldus ReliaQuest-onderzoeker James Xiang.
