.jpg)
No final de outubro, a plataforma de gerenciamento de identidade Okta começou a notificar seus usuários sobre uma violação do seu sistema de suporte ao cliente. A empresa disse na época que cerca de 1% dos seus 18.400 clientes foram afetados pelo incidente. Mas numa expansão massiva desta estimativa esta manhã, Okta disse que a sua investigação revelou provas adicionais de que, de facto, todos de seus clientes tiveram dados roubados na violação há dois meses.
A estimativa original de 1 por cento estava relacionada à atividade em que os invasores usaram credenciais de login roubadas para assumir o controle de uma conta de suporte da Okta que tinha algum acesso ao sistema do cliente para solução de problemas. Mas a empresa admitiu na quarta-feira que sua investigação inicial não percebeu outras atividades maliciosas nas quais o invasor simplesmente executou uma consulta automatizada no banco de dados que contém nomes e endereços de e-mail de “todos os usuários do sistema de suporte ao cliente Okta”. Isso também incluiu algumas informações dos funcionários da Okta.
Embora os invasores tenham consultado mais dados do que apenas nomes e endereços de e-mail – incluindo nomes de empresas, números de telefone de contato e dados do último login e das últimas alterações de senha – Okta diz que “a maioria dos campos do relatório estão em branco e o relatório não inclui credenciais de usuário ou dados pessoais confidenciais. Para 99,6% dos usuários no relatório, as únicas informações de contato registradas são nome completo e endereço de e-mail.”
Os únicos usuários do Okta que não foram afetados pela violação são clientes de alta sensibilidade que devem cumprir o Programa Federal de Gerenciamento de Autorização e Risco dos Estados Unidos ou as restrições de Nível 4 de Impacto do Departamento de Defesa dos EUA. Okta fornece uma plataforma de suporte separada para esses clientes.
A Okta diz que não percebeu que todos os clientes foram afetados pelo incidente porque, embora sua investigação inicial tenha analisado as consultas que os invasores realizaram no sistema, “o tamanho do arquivo de um relatório específico baixado pelo autor da ameaça era maior do que o arquivo gerado durante nossa investigação inicial.” Na avaliação inicial, quando o Okta regenerou o relatório em questão como parte da reconstituição dos passos dos invasores, ele não executou um relatório “não filtrado”, o que teria retornado mais resultados. Isso significava que, na análise inicial da Okta, havia uma discrepância entre o tamanho do arquivo que os investigadores baixaram e o tamanho do arquivo que os invasores baixaram, conforme registrado nos registros da empresa.
Okta não respondeu imediatamente aos pedidos de esclarecimento da WIRED sobre por que a empresa demorou um mês para gerar um relatório não filtrado e reconciliar essa inconsistência.
