Okta เผยรายละเอียดของการโดนแฮ็กระบบ เมื่อปลายเดือนตุลาคม 2023 ที่ผ่านมา หลังการสอบสวนเชิงลึกเสร็จสิ้นแล้ว

David Bradbury ประธานเจ้าหน้าที่ฝ่ายความมั่นคง (Chief Security Officer) เป็นผู้แถลงผ่านบล็อกของบริษัท เล่าถึงสาเหตุว่าเกิดจากพนักงานรายหนึ่งใช้โน้ตบุ๊กของบริษัท ล็อกอินบัญชี Google ส่วนตัวบน Chrome และเก็บรหัสผ่านต่างๆ ไว้ใน Chrome ทำให้โดนแฮ็กเอารหัสผ่านจากจุดนั้น ลามมายังบัญชีภายในของบริษัทต่อในภายหลัง

Okta บอกว่าได้รับแจ้งพฤติกรรมผิดปกติจากลูกค้า 3 รายคือ 1Password, BeyondTrust และลูกค้าอีกรายที่ไม่ระบุชื่อ ทำให้ทีม Okta เข้ามาสอบสวนว่าเกิดอะไรขึ้น บริษัทได้รับแจ้งพฤติกรรมน่าสงสัยครั้งแรกในวันที่ 29 กันยายน และค้นพบบัญชีที่โดนแฮ็กวันที่ 16 ตุลาคม (นานเกือบ 3 สัปดาห์) หลังจากนั้นจึงดำเนินมาตรการยกเลิก token เก่าที่ใช้ในเซสชันล็อกอิน และแจ้งเตือนให้ลูกค้าทราบ

Okta ระบุว่ามีลูกค้าจำนวน 134 องค์กรที่ได้รับผลกระทบ มีลูกค้าตกเป็นเป้าโจมตี โดนขโมย token เข้าเซสชันอย่างน้อย 5 รายคือ 3 รายข้างต้น บวกกับ Cloudflare และบริษัทอีกแห่งที่ไม่ระบุชื่อ

เว็บไซต์ Ars Technica วิจารณ์ Okta ว่าการที่พนักงานโดนแฮ็กบัญชีส่วนตัวเป็นเรื่องที่พบเจอได้ทั่วไป แต่การที่พนักงานโดนแฮ็กแล้วลุกลามมายังระบบภายในของบริษัท แปลว่ามาตรการภายในของ Okta เองต่างหากที่เป็นปัญหา พนักงานไม่ควรได้สิทธิใช้งานบัญชีส่วนตัวในบริษัทความปลอดภัยแบบ Okta ด้วยซ้ำ และมีคำถามตามมาอีกมากมายว่าทำไมแฮ็กเกอร์ถึงสามารถล็อกอินบัญชีพนักงาน Okta โดยใช้เพียงแค่รหัสผ่านที่ถูกขโมย ไม่ติดขั้นตอน MFA ที่ควรต้องมีเป็นมาตรฐาน, ไม่มี access control จำกัดสิทธิของบัญชีพนักงาน, ระบบมอนิเตอร์ของ Okta เองตรวจจับไม่ได้เลย ต้องรอคนอื่นแจ้งมา ฯลฯ แปลว่าระบบภายในของ Okta หละหลวมมาก

ที่มา - Okta, Ars Technica, ภาพจาก Okta