Okta坦承延遲公布第三方廠商被駭事件有疏失

身分驗證及存取管理雲端方案商Okta上周五（3/25）坦承，1月間得知第三方廠商被駭事件，但沒有繼續追查，決策上確有疏失。

Lapsus$集團在接連公布了多家知名廠商包括Nvidia、三星、Vodafone、Ubisoft後，上周也公布微軟及Okta的資料。根據駭客張貼的系統擷圖，顯示這是一個「Super User」應用。Okta說明起因在第三方業者Sitel服務工程師筆電被駭，可是後果並不如駭客說的那麼嚴重，即使客戶資料被存取，也僅限於該名工程師能存取的客戶資料，駭客無法新增或刪除使用者，或下載客戶資料庫。不過Okta也遭媒體批評未在1月通報。

Okta上周五說明事件發生經過。今年1月20日該公司安全團隊發現Sitel的客戶服務工程師的Okta帳號被加入一項密碼，顯示可能遭變更密碼。該公司宣稱，雖然該工程師帳號未成功被駭入，但為謹慎起見，他們仍然重設了這個帳號，並通知Sitel。之後Sitel請來外部鑑識廠商調查分析。Okta於3月17日接獲最終簡報，但5天後Lapsus$就公布了系統擷圖。Okta事發後於上周二（3/22）取得Sitel的完整調查報告，並對外界說明案情，強調該公司系統沒有被駭，客戶也無需採取任何行動。

但Okta仍坦承自己做了錯誤決策，Sitel是其服務供應商，Okta應負起最終責任。1月間他們並不知道Sitel的問題那麼大，Okta僅預防帳號被接管，並讓Sitel自己去找第三方鑑識廠商來調查，而未想到對Okta和客戶的風險。該公司坦承自己應該更主動，並要求Sitel提交更多資料。而從上周取得的證據來看，如果他們早點取得資料，應該會做出不同決定。

針對這起事件，Okta強調Lapsus$公布擷圖中的Super User應用程式只是內部Okta支援工具，僅供服務工程師基本的資訊存取，像是Jira工單或他負責的客戶清單。Super User並不等同「superadmin」，無法存取所有用戶資料，也無法新增或刪除用戶帳號、下戴客戶資料庫。

Sitel的工程師有權限重設客戶密碼或多因素驗證，但無法選擇或取得密碼。若攻擊者要使用這個管道來攻擊目標用戶，他必須另外取得該用戶的電子郵件。

上周Okta證實有2.5%、即366家客戶受到Lapsus$事件影響。該公司說已聯絡所有可能受影響的客戶，未受影響的用戶也接獲通知。

Okta表示Sitel公司證實已解決問題，不過Okta仍持續調查，也使用Log及其他資料源來判斷資料是否遭存取或外洩。

從Lapsus$ 3月22日公布資料以來，Okta股價已從170美元跌到138美元，跌幅達20%。