Okta のサードパーティでデータ侵害:従業員たちの個人情報が盗まれてしまった

Okta hit by third-party data breach exposing employee information

2023/11/02 BleepingComputer — Okta のサードパーティー・ベンダーへの侵害により、個人情報が流出したことが、約5,000人の現従業員/元従業員に対して警告されている。Okta はクラウド ID/Access 管理ソリューション・プロバイダーであり、SSO (Single Sign-On)/MFA (Multi Factor Authentication)/API アクセス管理サービスなどを、世界中の何千もの組織に提供している。今回のデータ侵害に関する警告は、Okta の従業員と家族に医療保険を提供する、Rightway Healthcare に影響を与えたセキュリティ・インシデントに関するものである。

2023年9月23日に Rightway のネットワークを侵害したサイバー犯罪者が、保険提供および対象者向け給付プランのために管理されていた、資格センサス・ファイルに不正にアクセスした。

このファイルには、Okta の現従業員/元従業員と、その扶養家族に関連する以下の情報が含まれていた:

  • フルネーム
  • 社会保障番号 (SSN)
  • 健康保険または医療保険のプラン番号

この侵害を Okta が知ったのは、Rightway が攻撃を公表した 2023年10月12日であり、直ちに侵害の範囲を特定するための調査が開始された。Okta がメイン州司法長官事務所に提出した報告書によると、この情報漏洩は合計 4,961人の従業員に影響を与えている。

健康情報の流出とは別に、従業員のフルネームが流出したこと、新たな問題が生じる恐れがある。つまり、サイバー犯罪者が企業の電子メール・アドレスを導き出し、社内の貴重なアカウントを乗っ取るための、標的型ブルートフォースを促す可能性である。

この Okta の通知は、それら個人情報が悪用された証拠はないと、繰り返して強調している。その一方で同社は、Experian を通じた2年間の信用監視/個人情報盗難防止/詐欺防止サービスに登録するよう案内している。

なお、Oktaは、この記事が掲載された後に、流出した従業員データは2019年4月〜2020年のものだと公表した。

同社は、「Okta のベンダーである Rightway Healthは、2019年4月〜2020年4月のファイルが IT 環境から流出するという、セキュリティ・インシデントに関して2023年9月に公表した。一連の流出データには、従業員と扶養家族の個人情報が含まれていた。ただし、このインシデントは Okta のサービスとは関係なく、顧客の安全には影響しない。つまり、このインシデントにより、Okta の顧客データは影響を受けていない」と述べている。

Okta の最近の災難

この2年間における Okta は、ソーシャル・エンジニアリング攻撃やクレデンシャル盗難による、一連の侵害に見舞われている。

2023年10月20日に Okta が警告したのは、盗んだ認証情報を悪用する攻撃者が、同社のサポート管理システムに侵入し、顧客がアップロードしたクッキーとセッション・トークンを含むファイルに、不正にアクセスしたインシデントである。この暴露により、BeyondTrust/Cloudflare/1Password パスワード・マネージャーなどの、Okta の顧客に影響が及んだ。

また、2022年12月にも Okta は、GitHub の非公開リポジトリに保存された機密情報とソースコードに、ハッカーがアクセスしたことを認めている。

2022年3月に Lapsus$ は、同様のハッキングの成功を主張したが、その時には顧客データも影響を被っていた。しばらく経って、Okta は顧客データへの侵害を認めた、2.5% の顧客に影響が生じたと述べている。

今回のインシデントでは、顧客に影響は影響が生じないとされるが、多くの従業員たちの個人情報が流出したことで、同社におけるセキュリティ・リスクが高まっている。

文中にもあるように、9月以降の Okta に関しては、以下のような記事がポストされています。そして、今日の記事では、Okta のサードパーティである Rightway が、9月23日に侵害を受けたと説明されています。 以下のインシデントなどに、この Rightway の侵害が、どのように関わっているのかは判りませんが、なんらかの要因になっているのかもしれません。

09/02:Okta ユーザーを欺く:Super Admin アカウントが狙われている
09/16:MFA に対する本質的な問題提起:MGM Resorts インシデントとは?
10/20:Okta サポート・システムの侵害:正規ユーザーを装う攻撃 
10/23:1Password のインシデント:Okta 認証セッションなどが悪用?