Le fournisseur de gestion d’identité et d’authentification Okta a été touché par une autre violation, celle-ci contre un fournisseur tiers qui a permis à des pirates informatiques de voler les informations personnelles de 5 000 employés d’Okta.
Le compromis a été conclu fin septembre contre Rightway Healthcare, un service qu’Okta utilise pour aider les employés et les personnes à leur charge à trouver des prestataires de soins de santé et des tarifs. Un acteur malveillant non identifié a eu accès au réseau de Rightway et s’est enfui avec un fichier de recensement d’éligibilité que le fournisseur tenait au nom d’Okta. Okta a eu connaissance de la compromission et du vol de données le 12 octobre et ne l’a divulgué que jeudi, soit exactement trois semaines plus tard.
« Les types d’informations personnelles contenues dans le fichier de recensement d’éligibilité concerné comprenaient votre nom, votre numéro de sécurité sociale et votre numéro de régime de santé ou d’assurance médicale », indique une lettre envoyée aux employés concernés d’Okta. « Nous n’avons aucune preuve suggérant que vos informations personnelles ont été utilisées à mauvais escient contre vous. »
La lettre, qui est la première fois que l’événement est divulgué, indique qu’Okta a ouvert une enquête immédiatement après en avoir eu connaissance. L’enquête a révélé que les données de 4 961 employés d’Okta étaient incluses dans le fichier volé.
Dans un e-mail, un représentant d’Okta a déclaré que, sur la base des informations fournies par Rightway, l’intrus a d’abord accédé au téléphone portable d’un employé de Rightway, puis a utilisé cet accès pour modifier les informations d’identification et prendre les fichiers. Les fichiers, datant d’avril 2019 à 2020, ont été exfiltrés de l’environnement informatique de Rightway. Les informations personnelles concernaient les employés d’Okta et leurs personnes à charge de 2019 et 2020. Okta a également déclaré que Rightway l’avait informé que la compromission impliquait plusieurs clients de Rightway.
« Cet incident n’est pas lié à l’utilisation des services Okta et les services Okta restent sécurisés », a déclaré le représentant. « Aucune donnée client Okta n’est impactée par cet incident. »
Les représentants de Rightway n’ont pas immédiatement répondu à un e-mail sollicitant des commentaires et des détails supplémentaires sur la violation.
La divulgation de jeudi intervient deux semaines après qu’Okta a révélé que des pirates informatiques avaient compromis son système de support client et obtenu des informations d’identification leur permettant de prendre le contrôle des comptes d’administration internes d’Okta des clients. Les attaquants ont ensuite utilisé ces informations d’identification dans des piratages ultérieurs ciblant les comptes d’administration interne de 1Password, BeyondTrust, Cloudflare et éventuellement d’autres clients.
Okta est basé à San Francisco et fournit des services d’identité cloud, de gestion des accès pour l’authentification unique, d’authentification multifacteur et d’API à des milliers d’organisations dans le monde. L’entreprise a déjà fait l’objet de critiques pour des failles de sécurité et pour la façon dont elles ont été traitées par la suite. Plus récemment, Cloudflare a reproché à Okta de ne pas avoir chassé les intrus de son réseau avant le 18 octobre, 16 jours après avoir pris connaissance de la compromission. Cloudflare a exhorté Okta à agir plus rapidement à l’avenir lorsqu’il est informé des failles de sécurité, en fournissant des informations plus tôt et en exigeant l’utilisation de clés matérielles pour protéger les systèmes internes et les systèmes utilisés par des fournisseurs de support tiers.
« Pour un fournisseur de services de sécurité critiques comme Okta, nous pensons que suivre ces bonnes pratiques est un enjeu de taille », ont écrit les chercheurs de Cloudflare.
Le représentant d’Okta a déclaré dans l’e-mail de jeudi que lorsque l’entreprise a eu connaissance de la compromission Rightway le 12 octobre, les enquêteurs avaient 27 000 dossiers à trier. Une grande partie du processus a dû être effectuée manuellement et a pris du temps.