Oktaのデータ侵害で従業員の情報が漏洩

Okta のデータ侵害により、従業員 5,000 人の情報が流出したと伝えられています。私たちはしばらく前に同様の侵害について読んでいましたが、今回は Okta による 2 回連続の侵害です。知っておくべきことは次のとおりです。

最近、Okta のセキュリティプロトコルにおける重大な違反が明らかになり、Okta の現在および元従業員とその扶養家族約 5,000 人が影響を受けています。この侵害は、Okta が従業員がヘルスケアサービスにアクセスできるようにするために使用されていた、サードパーティのヘルスケアサービスプロバイダーである Rightway Healthcare に対する攻撃に端を発しました。この攻撃により、名前、社会保障番号、健康関連情報などの機密データが漏洩しました。この侵害は 2023 年 9 月 23 日に発見され、Okta は侵害の範囲と影響を受ける人々への潜在的なリスクを評価するために直ちに調査を開始しました。

2023 年 10 月 12 日、Okta はライトウェイヘルスケアによって侵害が開示されたことを認識しました。この暴露を受けて、Okta は侵害の深さを特定し、このセキュリティインシデントに関連するリスクを最小限に抑えるための包括的な調査を開始しました。 Okta がメイン州司法長官室に提出した報告書によると、この侵害は 4,961 人の従業員に影響を及ぼし、悪意のある組織によって悪用された場合に重大なリスクを引き起こす可能性がある重要な情報が流出しました。

OKTAのデータ侵害 — Okta のデータ侵害は多くの従業員に影響を与えました (画像クレジット)

Okta データ侵害のリスクと影響

社会保障番号や氏名を含む公開されたデータは個人に重大な危険をもたらし、ハッカーによって使用される可能性があります。さらに、従業員の完全な身元を公開すると、ハッカーがビジネス用電子メールアドレスを取得するのに役立つ可能性があり、特定のハッキング戦術を通じて重要な企業アカウントに対する潜在的な危険が高まります。

「Okta ベンダーである Rightway Health では、2023 年 9 月にセキュリティインシデントが発生し、2019 年 4 月から 2020 年までのファイルが IT 環境から流出しました。これらのファイルには、2019 年から 2020 年にかけての従業員とその扶養家族に関する個人情報が含まれていました。このインシデントは Okta サービスの使用には関係しておらず、Okta サービスは引き続き安全です。 Bleeping Computer によると、Okta の顧客データはこの事件の影響を受けません」と Okta の広報担当者は述べた。

Okta の対応策

開示された情報の悪用の即時証拠はないという事実にもかかわらず、Okta は影響を受けた人々を保護するために積極的な行動をとりました。同社は影響を受ける人々に対し、Experian の 2 年間の信用監視、個人情報盗難防止、および詐欺防止サービスに登録するようアドバイスしています。この追加の保護層は、侵害された個人データによる潜在的な悪用や危害を防ぐことを目的としています。

Okta におけるセキュリティインシデントの歴史

Okta が直面した事件は、この侵害が初めてではありません。ソーシャルエンジニアリング攻撃、認証情報の盗難、顧客の機密データへの不正アクセスなどのこれまでのセキュリティ侵害により、テクノロジーコミュニティ内で懸念が生じました。 2023 年 10 月、攻撃者は Cookie とセッショントークンを含むファイルにアクセスし、BeyondTrust、Cloudflare、1Password などの複数の顧客に影響を与えました。 2022 年、Okta はプライベート GitHub リポジトリ内に保存されている機密情報とソースコードへのアクセスを許可する侵害に遭遇し、データセキュリティに対する不安が高まりました。