Okta: Breach Affected All Customer Support Users

29.11.2023 22:41

Krebs on Security

When KrebsOnSecurity broke the news on Oct. 20, 2023 that identity and authentication giant Okta had suffered a breach in its customer support department, Okta said the intrusion allowed hackers to steal sensitive data from fewer than one percent of its 18,000+ customers. But today, Okta revised that impact statement, saying the attackers also stole the name and email address for nearly all of its customer support users.

Okta acknowledged last month that for several weeks beginning in late September 2023, intruders had access to its customer support case management system. That access allowed the hackers to steal authentication tokens from some Okta customers, which the attackers could then use to make changes to customer accounts, such as adding or modifying authorized users.

In its initial incident reports about the breach, Okta said the hackers gained unauthorized access to files inside Okta’s customer support system associated with 134 Okta customers, or less than 1% of Okta’s customer base.

But in an updated statement published early this morning, Okta said it determined the intruders also stole the names and email addresses of all Okta customer support system users.

“All Okta Workforce Identity Cloud (WIC) and Customer Identity Solution (CIS) customers are impacted except customers in our FedRamp High and DoD IL4 environments (these environments use a separate support system NOT accessed by the threat actor),” Okta’s advisory states. “The Auth0/CIC support case management system was also not impacted by this incident.”

Okta said that for nearly 97 percent of users, the only contact information exposed was full name and email address. That means about three percent of Okta customer support accounts had one or more of the following data fields exposed (in addition to email address and name): last login; username; phone number; SAML federation ID; company name; job role; user type; date of last password change or reset.

Okta notes that a large number of the exposed accounts belong to Okta administrators — IT people responsible for integrating Okta’s authentication technology inside customer environments — and that these individuals should be on guard for targeted phishing attacks.

“Many users of the customer support system are Okta administrators,” Okta pointed out. “It is critical that these users have multi-factor authentication (MFA) enrolled to protect not only the customer support system, but also to secure access to their Okta admin console(s).”

While it may seem completely bonkers that some companies allow their IT staff to operate company-wide authentication systems using an Okta administrator account that isn’t protected with MFA, Okta said fully six percent of its customers (more than 1,000) persist in this dangerous practice.

In a previous disclosure on Nov. 3, Okta blamed the intrusion on an employee who saved the credentials for a service account in Okta’s customer support infrastructure to their personal Google account, and said it was likely those credentials were stolen when the employee’s personal device using the same Google account was compromised.

Unlike standard user accounts, which are accessed by humans, service accounts are mostly reserved for automating machine-to-machine functions, such as performing data backups or antivirus scans every night at a particular time. For this reason, they can’t be locked down with multifactor authentication the way user accounts can.

Dan Goodin over at Ars Technica reckons this explains why MFA wasn’t set up on the compromised Okta service account. But as he rightly point out, if a transgression by a single employee breaches your network, you’re doing it wrong.

“Okta should have put access controls in place besides a simple password to limit who or what could log in to the service account,” Goodin wrote on Nov. 4. “One way of doing this is to put a limit or conditions on the IP addresses that can connect. Another is to regularly rotate access tokens used to authenticate to service accounts. And, of course, it should have been impossible for employees to be logged in to personal accounts on a work machine. These and other precautions are the responsibility of senior people inside Okta.”

Goodin suggested that people who want to delve further into various approaches for securing service accounts should read this thread on Mastodon.

“A fair number of the contributions come from security professionals with extensive experience working in sensitive cloud environments,” Goodin wrote.

Moscow.media

Частные объявления сегодня

Rss.plus

Все новости за 24 часа

Life24.pro

Валерия Олюнина: Подвиг разведгруппы карабахского армянина Арама Газаряна

Зайка-яблокатайка и другие маскоты Comedy Radio снова в деле!

Заводы Желдорреммаша проходят аудит на соответствие стандарту ISO 22163:2023

Марина Вострикова. Менеджмент с сердцем: управленческие решения, инновации, тренды

Today24.pro

Chelsea cult hero, 46, looks unrecognisable as he finds creative way to watch team after ban

'Dhaga khol diya bey': Yashasvi-Arshdeep's on-field drama

There are no good billionaires in new trailer for HBO’s Mountainhead movie

Global chip giants gather as the sector grapples with tariffs and approaches critical juncture on AI

News24.pro

EXEED RX доказал надежность на долгую перспективу

«Like LIVE» в честь 90-летия московского метро

Жители Крайнего Севера мечтают о пенсии в Москве – опрос

Нацпроектстрой модернизирует международный аэропорт Краснодара

Game24.pro

Clair Obscur's director has an old YouTube channel full of masterful no-hit Devil May Cry videos because of course he does

I did Liberation Day tariffs in Victoria 3, and it all went well until the famine in Colorado, the 2 lost wars with Canada, and the president beating a man to death with a stick

Sure, why not, the next Dead by Daylight crossover is with Assassin's Creed Shadows

Asus is bringing two great features to ergonomic keyboards with its upcoming ROG Falcata

Russia24.pro

Число лотов до 10 млн руб. на рынке новостроек Москвы сократилось на 40,8%

Собянин и Мурашко открыли уникальный модернизированный медтехноцентр в Москве

Жители Крайнего Севера мечтают о пенсии в Москве – опрос

Собянин: Московский медицинский техноцентр открыт после реконструкции

Другие проекты от SMI24.net

News-life

РИА Новости: прощание с Юрием Владимировым пройдет в Большом театре 22 мая

Зайка-яблокатайка и другие маскоты Comedy Radio снова в деле!

«Like LIVE» в честь 90-летия московского метро

Жители Крайнего Севера мечтают о пенсии в Москве – опрос

Ru24.net

Умерла звезда сериалов «Папины дочки» и «Склифосовский» Наталья Пикула

Открылась Весенняя школа по финансам и кредиту

Метеоролог рассказала о шансах на теплое лето в Москве

Reuters назвал имена американцев, которых США хотят вернуть в рамках обмена

News.tennis

Анна Блинкова вышла в основную сетку турнира WTA-500 в Страсбурге

Синнер пробился в финал теннисного «Мастерса» в Риме

Российский теннисист Рублев прошел первый круг турнира ATP-500

Джокович — о работе с Мюрреем: Мы не достигли вместе того, на что рассчитывали

29ru.net

Умерла звезда сериалов «Папины дочки» и «Склифосовский» Наталья Пикула

В отношении основателя "Русагро" Мошковича возбудили дело о даче взятки

Reuters назвал имена американцев, которых США хотят вернуть в рамках обмена

Эпатажный новосибирский певец Шура отмечает 50-летие

Музыкальные новости

Poisk-music.ru

На 99 году жизни скончался хореограф Юрий Григорович

Россию на конкурсе «Интервидение» представит Shaman

Шоу фриков и деградантов: эксперты оценили «Евровидение-2025»

Концерт творческих коллективов пройдет в Ивановском

Ria.city

Число лотов до 10 млн руб. на рынке новостроек Москвы сократилось на 40,8%

Более 200 автогонщиков вышли на старт чемпионата и Кубка РФ в Подмосковье

«В салоне должен быть порядок»: за что стоило бы штрафовать пассажиров самолетов

Жители Крайнего Севера мечтают о пенсии в Москве – опрос

Rss.plus

Смоленский филиал «Россети Центр» проведёт капитальный ремонт 12 линий электропередачи 110 кВ в 2025 году

Более 200 автогонщиков вышли на старт чемпионата и Кубка РФ в Подмосковье

Футбол стал главным видом спорта для соревнований с друзьями у россиян

Актриса из сериала «Склифосовский» Наталья Пикула умерла в возрасте 51 года

Auto.russia24.pro

«Гордимся Татарстаном»: профсоюз госучреждений РФ оценил работу Татреспрофсоюза

Российские кольцевые гонки грандиозно открыли сезон при поддержке высоких технологий

Первый послевоенный троллейбус МТБ отреставрировали в Москве

С 1 июня изменятся тарифы на проезд в городском транспорте Москвы

Putin.russia24.pro

Axios узнал об отказе Трампа вводить новые санкции против России по просьбе ЕС

«"Разрушительные санкции" не потребуются» // Дмитрий Дризе — об итогах телефонного разговора президентов России и США

Об угрозе терактов в Москве и «боевом братстве» России и США: новые детали разговора Путина и Трампа

Как прошел визит в Россию Си Цзиньпина, и какие он здесь заключил соглашения

Health.russia24.pro

В Москве и Московской области 103 тысячи многодетных матерей и матерей детей с инвалидностью досрочно получают пенсию

Собянин и Мурашко открыли Московский медицинский техноцентр

Собянин: Московский медицинский техноцентр открыт после реконструкции

С 2025 года Отделение СФР по Москве и Московской области увеличило размеры декретных пособий и выплат по больничным листам

Zelensky.russia24.pro

В Верховной Раде разоблачены коварные действия Зеленского в конфликте с Россией

Разбор полетов для Зеленского: почему Киев впал в панику после переговоров Путина и Трампа

Sport.russia24.pro

Футбол стал главным видом спорта для соревнований с друзьями у россиян

Детский турнир по городошному спорту пройдет в Басманном районе

Сегодня МХК «Спартак» может взять Кубок Харламова

Российские кольцевые гонки грандиозно открыли сезон при поддержке высоких технологий

Lukashenko.russia24.pro

Между Красноярском и Минском может появиться прямое авиасообщение

В Красноярске планируют открыть прямые авиарейсы до Минска

Михаил Котюков и Александр Лукашенко обсудили вопросы сотрудничества

Person.russian.city

Сергей Собянин. Главное за день

Собянин и Мурашко открыли Московский медицинский техноцентр

Собянин объявил программу фестиваля «Театральный бульвар»

Собянин и Мурашко открыли уникальный модернизированный медтехноцентр в Москве

Ecology.russia24.pro

Медиаклуб движения «Экосистема» сформирует новую ...

VolgaBlob: партнерские экосистемы будут драйвить рынок мониторинга данных

Книжная серия «Фантастика». 30 томов в одной книге

Hybrid объединил собственные инструменты на базе AI и ML в Hybrid DeepCore

29ru.net

Умерла звезда сериалов «Папины дочки» и «Склифосовский» Наталья Пикула

Бойцы ВС России угнали шведскую БМП CV90, подкравшись к ней и уничтожив ВСУ

В Калужской области на конкурсе «Поющее мужское братство» объединились 350 поющих мужчин и юношей

В московском регионе вводятся новые правила учета и контроля мигрантов

Severodvinsk.ws

Нарьян-Марскую епархию возглавил епископ Софроний

«Архангельск Блюз 2025»: юбилейный фестиваль откроется бесплатным концертом у драмтеатра

Пожар на Московском: в Архангельске при возгорании в квартире погиб пожилой мужчина

Архангельские врачи спасли пациентку с поликистозом почек: первая в 2025 году трансплантация прошла успешно

Sevpoisk.ru

Час гордости и славы «Стояли, как солдаты, Города-Герои»

Арт-знакомство «Художник – тот же поэт»

Час гордости и славы «Стояли, как солдаты, Города-Герои»

Салют сорок пятого года

103news.com

Жители столицы выберут имя для детеныша гориллы из Московского зоопарка

СМИ узнали о прекращении Британией торговых переговоров с Израилем из-за Газы

Канчельскис: «Зенит» станет чемпионом России»

На выборах в Молдове всё решает не население страны, а диаспора

Агрегатор новостей 24СМИ