في أواخر أكتوبر، بدأت منصة إدارة الهوية Okta في إخطار مستخدميها بحدوث اختراق لنظام دعم العملاء الخاص بها. وقالت الشركة في ذلك الوقت إن حوالي 1% من عملائها البالغ عددهم 18400 تأثروا بالحادث. ولكن في توسيع هائل لهذا التقدير في وقت مبكر من هذا الصباح، قالت “أوكتا” إن تحقيقاتها كشفت عن أدلة إضافية تشير في الواقع إلى أن الجميع من عملائها سُرقت بياناتهم في الاختراق قبل شهرين.
يتعلق التقدير الأصلي بنسبة 1 بالمائة بالنشاط الذي استخدم فيه المهاجمون بيانات اعتماد تسجيل الدخول المسروقة للاستيلاء على حساب دعم Okta الذي كان لديه بعض الوصول إلى نظام العملاء لاستكشاف الأخطاء وإصلاحها. لكن الشركة اعترفت يوم الأربعاء بأن تحقيقها الأولي قد أغفل نشاطًا ضارًا آخر قام فيه المهاجم ببساطة بإجراء استعلام آلي لقاعدة البيانات التي تحتوي على أسماء وعناوين البريد الإلكتروني “لجميع مستخدمي نظام دعم عملاء Okta”. وتضمن هذا أيضًا بعض المعلومات الخاصة بموظفي Okta.
وبينما كان المهاجمون يستفسرون عن بيانات أكثر من مجرد الأسماء وعناوين البريد الإلكتروني – بما في ذلك أسماء الشركات وأرقام هواتف الاتصال وبيانات آخر تسجيل دخول وآخر تغيير لكلمة المرور – يقول أوكتا إن “أغلبية الحقول في التقرير فارغة والتقرير لا يتضمن بيانات اعتماد المستخدم أو البيانات الشخصية الحساسة. بالنسبة لـ 99.6% من المستخدمين في التقرير، معلومات الاتصال الوحيدة المسجلة هي الاسم الكامل وعنوان البريد الإلكتروني.
مستخدمو Okta الوحيدون الذين لم يتأثروا بالاختراق هم العملاء ذوو الحساسية العالية الذين يجب أن يلتزموا ببرنامج إدارة المخاطر والتفويض الفيدرالي بالولايات المتحدة أو قيود وزارة الدفاع الأمريكية من المستوى 4. توفر Okta منصة دعم منفصلة لهؤلاء العملاء.
تقول شركة Okta إنها لم تدرك أن جميع العملاء قد تأثروا بالحادثة، لأنه على الرغم من أن تحقيقاتها الأولية نظرت في الاستعلامات التي أجراها المهاجمون على النظام، إلا أن “حجم ملف تقرير معين تم تنزيله بواسطة جهة التهديد كان أكبر من الملف الذي تم إنشاؤه أثناء تحقيقنا الأولي.” في التقييم الأولي، عندما أعادت شركة Okta إنشاء التقرير المعني كجزء من تتبع خطوات المهاجمين، لم تقم بتشغيل تقرير “غير مفلتر”، والذي كان من شأنه أن يعيد المزيد من النتائج. وهذا يعني أنه في التحليل الأولي الذي أجرته شركة Okta، كان هناك تناقض بين حجم الملف الذي قام المحققون بتنزيله وحجم الملف الذي قام المهاجمون بتنزيله، كما هو مسجل في سجلات الشركة.
لم تستجب شركة Okta على الفور لطلبات WIRED للتوضيح حول سبب استغراق الشركة شهرًا لتشغيل تقرير غير مفلتر وتسوية هذا التناقض.
