Okta avslutar sin utredning av komprometteringen i januari 2022

Vi har avslutat vår utredning av komprometteringen i januari 2022 hos vår tredjepartsleverantör.

I början av vår utredning fokuserade vi på ett tidsfönster på fem dagar, mellan den 16 och 21 januari, då det utomstående kriminaltekniska företaget, som anlitats av vår leverantör Sitel, indikerade att hotet hade tillgång till deras miljö. Baserat på detta tidsfönster fastställde vi att den maximala potentiella effekten av incidenten var 366 Okta-kunders miljöer, till vilka någon av Sitels kundsupporttekniker fick tillgång under denna tid.

Som ett resultat av den grundliga utredningen av våra interna säkerhetsexperter och ett globalt erkänt cybersäkerhetsföretag som vi anlitade för att ta fram en kriminalteknisk rapport, kan vi nu dra slutsatsen att incidentens inverkan var betydligt mindre än den maximala potentiella inverkan som Okta ursprungligen meddelade den 22 mars 2022.

I den slutliga kriminaltekniska rapporten från det globalt erkända cybersäkerhetsföretaget som vi anlitade drogs slutsatsen att:

• Hotaktören aktivt kontrollerade en enda arbetsstation som användes av en Sitel-supporttekniker med tillgång till Okta-resurser.
• Kontrollen pågick i 25 minuter i följd den 21 januari 2022.
• Under detta begränsade tidsfönster fick hotet tillgång till två aktiva miljöer i SuperUser-applikationen (som vi har meddelat separat) och tittade på begränsad ytterligare information i vissa andra applikationer som Slack och Jira som inte kan användas för att utföra åtgärder i Okta.
• Hotaktören kunde inte utföra några konfigurationsändringar, MFA- eller lösenordsåterställningar eller "personifiering" av kundsupport.
• Hotaktören kunde inte autentisera sig direkt till några Okta-konton.

Även om den totala effekten av komprometteringen har konstaterats vara betydligt mindre än vad vi ursprungligen räknade med, är vi medvetna om hur stor inverkan den här typen av kompromettering kan ha på våra kunder och deras förtroende för Okta.

Arbeta med våra kunder

När Okta först fick kännedom om att hotet hade lyckats ta skärmdumpar den 21 mars 2022 reagerade vi med öppenhet och delade med oss av vad vi visste vid den tidpunkten. Den 22 mars 2022 började vi meddela det maximala antalet potentiellt drabbade kunder, som vi avgränsade genom att undersöka alla Sitel-medarbetares åtkomst till SuperUser-applikationen under det fem dagar långa fönstret. Vi har delat loggar från appen SuperUser med var och en av dessa kunder och hållit möten med Okta Security-personal för att hjälpa kunderna att förstå sina logguppgifter. Vi har gjort detta för att visa vårt engagemang för att återupprätta deras förtroende och för att arbeta tillsammans med dem för att bekräfta säkerheten i deras Okta-tjänst.

Nu när vi har kommit fram till slutsatsen av vår utredning har vi gett följande två dokument till de Okta-kunder som vi ursprungligen trodde var drabbade:

• Den slutliga kriminaltekniska rapporten, som utarbetats för Okta av ett globalt erkänt kriminaltekniskt företag inom cybersäkerhet.
• Okta Securitys handlingsplan, som beskriver Oktas kort- och långsiktiga åtgärder för att stärka säkerheten hos våra tredjepartspersonuppgiftsbiträden med tillgång till kundsupportsystem.

Lärdomar

Utöver dessa potentiellt påverkade organisationer inser vi hur viktigt det är att vidta åtgärder för att återuppbygga förtroendet inom vår bredare kundbas och vårt ekosystem. Slutsatserna i den slutliga rapporten från den kriminaltekniska undersökningen minskar inte vår beslutsamhet att vidta korrigerande åtgärder för att förhindra liknande händelser och förbättra vår förmåga att reagera på säkerhetsincidenter. Det börjar med att vi ser över våra säkerhetsprocesser och försöker hitta nya sätt att påskynda uppdateringar från tredje part och internt för potentiella problem, både stora och små. Vi kommer att fortsätta att arbeta för att bedöma potentiella risker och vid behov kommunicera med våra kunder så fort vi kan.

Vi har också åtagit oss att vidta åtgärder på flera områden:

1. Hantering av risker från tredje part:

• Okta förstärker revisionsprocedurerna för våra underbehandlare och kommer att bekräfta att de uppfyller våra nya säkerhetskrav. Vi kommer att kräva att « sub-processorer » som tillhandahåller supporttjänster för Oktas räkning antar säkerhetsarkitekturer av typen "Zero Trust" och att de autentiserar sig via Oktas IDAM-lösning för alla arbetsplatsapplikationer.
• Okta har avslutat sitt samarbete med Sykes/Sitel.

2. Tillgång till system för kundsupport:

• Okta kommer nu att direkt hantera alla enheter från tredje part som har tillgång till våra kundsupportverktyg, vilket ger den nödvändiga insynen för att effektivt reagera på säkerhetsincidenter utan att förlita sig på en tredje part. Detta kommer att göra det möjligt för oss att avsevärt förkorta svarstiderna och rapportera till kunderna med större säkerhet om den faktiska påverkan, snarare än den potentiella påverkan.
• Vi gör ytterligare ändringar i vårt verktyg för kundsupport för att begränsa vilken information som en tekniker för teknisk support kan se. De här ändringarna ger också större insyn i när det här verktyget används i kundernas administratörskonsoler (via System Log).

3. Kundkommunikation: Vi ser över våra kommunikationsprocesser och kommer att införa nya system som hjälper oss att snabbare kommunicera med kunderna om säkerhets- och tillgänglighetsfrågor.

Vägen framåt

Oktas kunder är vår stolthet, vårt syfte och vår främsta prioritet. Det smärtar oss att medan Okta-tekniken var utmärkt under incidenten, så var våra ansträngningar för att kommunicera om händelserna på Sitel inte lika bra som våra egna och våra kunders förväntningar.

Oktas ledarteam har träffat tusentals kunder under de senaste veckorna för att diskutera vårt svar.

Vi avslutar denna undersökning med ett mycket starkare partnerskap och en känsla av en gemensam resa med våra kunder. Vi inser hur viktigt Okta är för så många organisationer och de individer som är beroende av dem, och vi är mer beslutna än någonsin att leverera för dem.