Okta sluit onderzoek naar incident van januari 2022 af
We hebben ons onderzoek afgesloten naar het incident dat zich in januari 2022 bij onze externe leverancier heeft voorgedaan.
Het onderzoek was in eerste instantie gericht op de vijf dagen tussen 16 en 21 januari. Volgens de externe forensische organisatie die door onze leverancier Sitel was ingeschakeld, had de threat actor gedurende deze periode toegang tot hun omgeving gehad. Op basis van die inschatting hebben we de maximale potentiële impact van het incident in kaart gebracht. Zo kwamen we tot de conclusie dat de customer support engineers van Sitel gedurende deze vijf dagen toegang tot de tenants van 366 Okta-klanten hebben gehad.
Onze interne security-experts hebben ondertussen een diepgaand onderzoek uitgevoerd en we hebben een wereldwijd bekende cybersecurity-organisatie opdracht gegeven een forensisch rapport op te stellen. Zowel uit het onderzoek als uit het rapport blijkt dat de omvang van het incident aanzienlijk kleiner is dan de maximale potentiële impact die Okta op 22 maart 2022 heeft bekendgemaakt.
Dit zijn de conclusies uit het definitieve forensische rapport dat is opgesteld door de wereldwijd bekende cybersecurity-organisatie:
- De threat actor is erin geslaagd de controle te krijgen over een werkstation van een Sitel-support engineer dat toegang tot resources van Okta bood.
- Het incident vond plaats op 21 januari 2022 en heeft 25 achtereenvolgende minuten geduurd.
- Tijdens die 25 minuten heeft de threat actor via de SuperUser-applicatie toegang gekregen tot twee actieve tenants van klanten (die we afzonderlijk op de hoogte hebben gesteld). Daarnaast heeft de indringer een beperkte hoeveelheid aanvullende informatie in enkele andere applicaties bekeken, zoals Slack en Jira. Deze applicaties kunnen niet worden gebruikt om acties in tenants van Okta-klanten uit te voeren.
- De threat actor heeft geen configuratiewijzigingen, MFA-resets of wachtwoordresets uitgevoerd en ook geen nagebootste customer support-gebeurtenissen in gang gezet.
- De threat actor kon zich niet rechtstreeks authenticeren bij Okta-accounts.
Hoewel de totale impact van het incident aanzienlijk kleiner blijkt te zijn dan we in eerste instantie dachten, beseffen we heel goed dat deze gebeurtenis een zware wissel trekt op onze klanten en hun vertrouwen in Okta.
Samenwerken met onze klanten
Toen Okta ontdekte dat de threat actor op 21 maart 2022 screenshots had gemaakt, hebben we op transparante wijze gereageerd en alle informatie gedeeld die we op dat moment tot onze beschikking hadden. Op 22 maart 2022 hebben we het maximum aantal potentieel getroffen klanten op de hoogte gebracht. De scope hebben we bepaald door onderzoek uit te voeren naar alle toegangsacties van alle Sitel-werknemers die in de betreffende periode via de SuperUser-applicatie zijn uitgevoerd. We hebben de logboeken van de SuperUser-app met elk van deze klanten gedeeld en hen in samenwerking met Okta Security-medewerkers persoonlijk uitleg gegeven over de informatie die in de logboeken staat vermeld. Deze stappen hebben we genomen om te benadrukken dat we al het mogelijke doen om het vertrouwen in Okta en de security van de Okta-service te herstellen.
Na afronding van het onderzoek hebben we de volgende twee documenten beschikbaar gesteld aan de Okta-klanten van wie we in eerste instantie aannamen dat ze getroffen waren door het incident:
- Het definitieve forensische rapport. Dit rapport is in opdracht van Okta opgesteld door een wereldwijd bekende cybersecurity-organisatie.
- Het Okta Security Action Plan. In dit plan staan de stappen die Okta op de korte en lange termijn uitvoert om de security aan te scherpen voor onze externe verwerkers die toegang hebben tot customer support-systemen.
Lessen die we hebben geleerd
We beseffen dat het van groot belang is dat we stappen zetten om het vertrouwen te herstellen, niet alleen bij de potentieel getroffen organisaties, maar ook binnen onze hele klantenkring en ons ecosysteem. De conclusies uit het definitieve forensische rapport vallen weliswaar mee, maar we zijn vastbesloten strenge maatregelen te treffen om dit soort gebeurtenissen in de toekomst te voorkomen en onze reactie op security-incidenten te verbeteren. Allereerst gaan we onze securityprocessen kritisch tegen het licht houden. Daarnaast zoeken we nieuwe manieren om interne en externe updates voor zowel grote als kleine potentiële problemen sneller uit te voeren. Ook gaan we door met het in kaart brengen van potentiële risico's en nemen we als het nodig is zo snel mogelijk contact op met onze klanten.
Tot slot treffen we maatregelen op verschillende fronten:
1. Risicobeheer bij derde partijen:
- Okta scherpt de auditprocedures van zijn subverwerkers aan en controleert nauwlettend of ze voldoen aan de nieuwe securityvereisten. Subverwerkers die Support Services voor Okta leveren moeten security-architecturen op basis van Zero Trust adopteren. Ook moeten subverwerkers zich voor alle werkplekapplicaties authenticeren via de IDAM-oplossing van Okta.
- Okta heeft de relatie met Sykes/Sitel beëindigd.
2. Toegang tot customer support-systemen:
- Alle devices van derde partijen die toegang hebben tot onze customer support-tools worden nu rechtstreeks beheerd door Okta. Op deze manier creëren we meer inzicht en kunnen we effectief op security-incidenten reageren zonder dat we van een derde partij afhankelijk zijn. Ook kunnen we de reactietijden aanzienlijk verbeteren en de daadwerkelijke impact beter bepalen (in plaats van de potentiële impact).
- Verder passen we onze customer support-tool aan om de hoeveelheid informatie te beperken die een support engineer kan bekijken. Deze wijzigingen geven ons ook meer inzicht in de datums en tijdstippen waarop de tool is gebruikt in de admin consoles van onze klanten (via System Log).
3. Communicatie met de klant: we nemen onze communicatieprocessen opnieuw onder de loep en adopteren nieuwe systemen om klanten sneller op de hoogte te brengen van problemen op het gebied van security en beschikbaarheid.
De weg vooruit
Onze klanten zijn onze trots, onze focus en onze hoogste prioriteit. De technologie van Okta heeft tijdens het incident uitstekend gepresteerd, maar we betreuren het dat onze communicatie over de gebeurtenissen bij Sitel niet heeft voldaan aan onze eigen verwachtingen en de verwachtingen van onze klanten.
Het managementteam van Okta heeft in de afgelopen paar weken rechtstreeks contact gehad met duizenden klanten om ze meer informatie over onze reactie op het incident te geven.
We sluiten dit onderzoek af in de overtuiging dat deze gedeelde ervaring de partnerrelatie met onze klanten sterker heeft gemaakt. Tot slot willen we benadrukken dat we ons ervan bewust zijn dat Okta een cruciale rol speelt bij een groot aantal organisaties en de gebruikers die afhankelijk van die organisaties zijn. We zijn meer dan ooit vastbesloten om aan hun verwachtingen te voldoen.