Okta, piratage d’octobre 2023 : une fuite de données affecte tous les utilisateurs du système d’assistance !
Suite à l'incident de sécurité survenu entre septembre et octobre 2023, Okta a mené une enquête qui a permis de déterminer que les pirates ont téléchargé des données appartenant à tous les utilisateurs du centre d'assistance Okta. Voici ce que l'on sait.
Pour rappel, cet incident de sécurité est lié à la compromission du compte Google de l'un des salariés d'Okta. Il a permis aux pirates d'accéder au système d'assistance d'Okta et de voler des fichiers HAR pouvant contenir des cookies de session et jetons de clients. Grâce à son enquête, Okta a pu déterminer que ce piratage a impacté 134 clients, ce qui représente 1% du nombre total de clients. Parmi les victimes, il y avait notamment 1Password, Cloudflare et BeyondTrust.
Suite à plusieurs semaines d'enquêtes, Okta a pu en apprendre encore un peu plus sur les conséquences de cet incident de sécurité. Désormais, nous savons que les pirates sont parvenus à télécharger un fichier avec les données personnelles de tous les utilisateurs du système d'assistance d'Okta : "Nous avons déterminé que l'attaquant a exécuté et téléchargé un rapport contenant les noms et les adresses électroniques de tous les utilisateurs du système d'assistance d'Okta.", peut-on lire sur le site officiel d'Okta.
Le pirate a généré ce rapport le 28 septembre 2023 et ce dernier contient les informations suivantes sur les clients d'Okta : nom, prénom, identifiant, adresse e-mail, adresse, numéro de téléphone, dernière connexion, date de création, date du dernier changement de mots de passe, et le SAML Federation ID. D'ailleurs, Okta précise qu'aucun identifiant n'est présent dans cette fuite de données. "Pour 99,6 % des utilisateurs figurant dans le rapport, les seules informations de contact enregistrées sont le nom complet et l'adresse électronique.", peut-on lire sur le site d'Okta.
Puisque le pirate a pu récupérer le nom complet et l'adresse électronique des utilisateurs, il y a de fortes chances pour que ces informations soient exploitées au sein d'une campagne de phishing. Enfin, Okta recommande à tous ses utilisateurs d'activer le MFA sur leur compte afin d'en renforcer la sécurité et de configurer l'expiration des sessions admins (au bout de 12 heures ou 15 minutes d'inactivité). À ce sujet, 94% des clients d'Okta ont déjà activé le MFA sur leur compte.