Okta 安全事件概述

关键要点

Okta 在 10 月 20 日报告称，攻击者利用被盗凭据访问了其后台支持案例管理系统。尽管 Okta 低估了此次泄露的影响，但专家认为可能涉及敏感客户数据。这是 Okta 第一次被攻击，上一起事件发生在 2022 年 3 月。专家建议加强安全措施，包括多因素认证等。

Okta 最近通报，在 10 月 20 日，有攻击者通过盗取的凭据成功进入其后台支持案例管理系统。虽然这家身份和访问管理IAM公司对泄露事件的影响表示轻描淡写，专家们则警告称，此次事件可能导致敏感客户数据的曝光。

这并不是 Okta 第一次报告遭遇安全事件，上一次是在 2022 年 3 月时，Lapsus 勒索团体曾在 Telegram 上宣称已入侵 Okta。

Okta 的首席安全官 David Bradbury 在一份公告中表示，尽管攻击者能够查看某些 Okta 客户上传的文件，但他强调，Okta 的支持案例管理系统与其生产服务是分开的，且生产系统运行正常，没有受到影响。

“所有受影响的客户均已收到通知，”Bradbury 写道。“如果您是 Okta 客户且未收到其他信息或通知，则说明您的 Okta 环境或支持工单没有受到影响。”Bradbury 并未透露有多少客户收到了通知。

尽管 Okta 对此事件表示轻描淡写，但 Approov 的首席执行官 Ted Miracco 指出，仅仅因为此次泄露局限于 Okta 的支持管理系统并不能让人安心，因为该系统可能包含与客户支持案例相关的重要信息，包括客户上传的文件。

Miracco 表示，如果攻击者能够访问并查看这些文件，他们可能已获得敏感数据，例如客户凭据、个人可识别信息或机密文件。

“攻击者也可能尝试利用这些凭据来提升其访问权限，进入其他系统或服务，或对 Okta 的客户发起针对性攻击，”Miracco 说。“这一事件凸显了用户授权在访问控制中的基础作用，但仅依赖于此可能使系统脆弱。结合多因素认证和移动设备或应用验证等技术，可以为 API 增加额外的安全层，使得攻击者更难获取未经授权的访问。”

DoControl 的解决方案咨询副总裁 Tim Davis 提到，支持工单系统作为软件即服务SaaS应用是非常常见的。SaaS 提供了方便的访问任何有互联网连接的人都可以访问 SaaS 平台以及内置的数据共享功能，以促进协作和提高生产力。然而，Davis 表示，这种用户和数据访问的便利在安全方面却付出了代价，而大多数组织对此仍然认识不足。

“SaaS 平台通常没有激励去保护存储在其中的数据或监控谁可以访问这些数据，因为 SaaS 供应商希望促进和鼓励协作。”Davis 说。“确保存储在 SaaS 应用中的数据及其客户数据的安全是组织的责任。这项安全措施不仅要包括单点登录SSO和多因素认证MFA这样的用户访问控制，还应包括数据访问控制和可见性。最后，还应包括检测有效用户凭据被泄露的方法如行为分析和数据访问阈值。”

加速器外网梯子

身份和访问管理 (IAM) 越来越重要

每一个 Okta 的安全事件都是值得关注的，因为根据 CyberRisk Alliance 的一项研究，绝大多数公司现在都将身份和访问管理IAM作为保护其系统的手段。

研究和分析组 6sense 报告 指出，Okta 已成为领先的身份和访问管理IAM供应商，市场份额达到 4497，客户数量达 11950 家。Okta 的主要客户包括 YouTube、Hearst Corp 和华盛顿特区等拥有超过 10000 名员工的公司。

在公告中，Bradbury 表示公司的支持团队将要求客户上传一个[