Okta revient sur le devant de la scène avec un autre incident de cybersécurité, cette fois via une violation de son fournisseur tiers, Rightway Healthcare, qui a exposé les données personnelles et de santé de près de 5 000 employés d’Okta.
Selon Dossier déposé par Okta auprès du procureur général du Maine, la violation de Rightway s’est produite le 23 septembre et a été découverte le 12 octobre.
Okta, dans un communiqué, a souligné que seuls ses employés, et non ses clients, ont été touchés par l’incident.
« Un fournisseur d’Okta, Rightway Health, a eu un incident de sécurité en septembre 2023 au cours duquel des fichiers d’avril 2019 à 2020 ont été exfiltrés de son environnement informatique », a expliqué un porte-parole d’Okta. « Ceux-ci contenaient des informations personnelles sur les employés et les personnes à leur charge de 2019/2020. »
Le communiqué ajoute que les services Okta restent sécurisés.
« Le 12 octobre 2023, Rightway a informé Okta qu’un acteur non autorisé avait eu accès à un fichier de recensement d’éligibilité conservé par Rightway dans le cadre de sa fourniture de services à Okta », explique une lettre envoyée aux employés compromis. « Après avoir découvert l’incident, nous avons rapidement lancé une enquête et examiné le dossier concerné afin de déterminer l’étendue de l’impact sur nos employés actuels et anciens, ainsi que sur les personnes à leur charge. L’enquête a révélé que vos informations personnelles étaient contenues dans le dossier concerné. »
Les données compromises comprenaient des noms, des numéros de sécurité sociale et des régimes d’assurance maladie ou médicale, un lettre envoyée aux victimes potentielles par Okta lu. La société a ajouté une offre de services gratuits de surveillance de l’identité et du crédit.
Problèmes de sécurité persistants chez Okta
Certes, par rapport aux récentes compromissions liées à Okta, cette fuite de données spécifique de Rightway n’est pas un événement marquant ; mais cela ne pouvait pas tomber à un pire moment pour l’entreprise de cybersécurité.
Des acteurs malveillants jouant sur la plateforme logicielle de l’entreprise aux violer MGM Resorts à l’effet catastrophique en septembre, à l’incident d’octobre lorsque les attaquants compromis les propres systèmes d’Okta pour voler les données des clients, y compris les jetons de session et les cookies (suivi quelques jours plus tard par un attaque de la chaîne d’approvisionnement contre son client 1Password), Ces dernières semaines ont été difficiles pour le fournisseur de gestion des identités et des accès (IAM).
« S’il n’y avait pas eu le nom d’Okta dans la presse récemment à propos d’événements de sécurité peu inspirants, je n’aurais probablement même pas prêté attention à cet événement », a déclaré John Bambenek de Netenrich à Dark Reading. « Cela étant dit, j’espère, pour le bien de leurs employés, qu’ils prendront cet événement au sérieux et qu’ils examineront ce qu’ils peuvent faire pour consolider les données sensibles qu’ils font traiter en leur nom par leurs fournisseurs tiers. »
Cependant, la divulgation d’un autre incident de cybersécurité n’importe où dans sa chaîne d’approvisionnement en logiciels pourrait soulever des questions sur la posture de sécurité globale d’Okta, en particulier parmi sa clientèle soucieuse de la cybersécurité.
« La confiance des professionnels de la cybersécurité peut être fragile lorsqu’il s’agit de violations de données », déclare Sarah Jones, analyste de recherche sur les renseignements sur les menaces chez Critical Start. « Même si des incidents de cybersécurité peuvent survenir dans n’importe quelle organisation, l’ampleur de la perte de confiance dépend de la manière dont l’entreprise gère la situation. »
Jones ajoute que la réponse d’Okta a été proactive et positive dans cette affaire. « Okta a pris des mesures pour informer et soutenir les personnes concernées, en proposant des services de surveillance du crédit par mesure de précaution », ajoute Jones. « Cependant, la confiance à long terme dépend de l’engagement de l’entreprise à améliorer ses mesures de sécurité et à prévenir de futures violations. »
Interrogé sur la manière dont Okta rassurerait ses clients sur le fait qu’il prend des mesures proactives pour renforcer sa position globale en matière de cybersécurité, le porte-parole de l’entreprise a déclaré qu’il s’en tenait à cette déclaration pour l’instant.
