Il recente data breach di Okta ha prodotto una nuova vittima, questa volta eccellente; si tratta di CloudFlare.
Infatti, in un sofisticato “nation-state attack”, sfruttando delle credenziali rubate nel data breach Okta, attori malevoli hanno avuto accesso ai loro servizi su Atlassian Confluence e Atlassian Jira, alla ricerca di documentazione sulla rete, sui codici sorgenti ed in generale per avere conoscenza sulle impostazioni della loro rete globale.
Quindi si tratta di un breach a CloudFlare indiretto, verificatosi in una infrastruttura di terzi (Atlassian) che opera come loro Data Processor.
Interessante anche il timing; nella prima metà di ottobre 2023, OKTA comunica; “we can confirm that from September 28, 2023 to October 17, 2023, a threat actor gained unauthorized access to files inside Okta’s customer support system associated with 134 Okta customers, or less than 1% of Okta customers“.
Quindi meno dell’1 percento dei clienti.
Invece, a fine novembre, OKTA comunica che: “we have determined that the threat actor ran and downloaded a report that contained the names and email addresses of all Okta customer support system users“.
Quindi tutti gli utenti.
A seguito di un data breach si continua a pensare che minimizzare l’accaduto sia importante. Invece, si generano ulteriori danni agli utenti.
Anche CloudFlare doveva comunque – sin da subito – attivarsi per valutare quali potenziali effetti avesse il breach di Okta; è chiaro che un gestore delle identità digitali violato ha effetti domino potenzialmente imponenti, che debbono essere gestiti.
Fortunatamente gli effetti del breach a catena ai danni di Cloudflare non appare grave; nel chiaro post di CF, viene indicato che “We want to emphasize to our customers that no Cloudflare customer data or systems were impacted by this event“.
Da notare che:
“From November 14 to 17, a threat actor did reconnaissance and then accessed our internal wiki (which uses Atlassian Confluence) and our bug database (Atlassian Jira). On November 20 and 21, we saw additional access indicating they may have come back to test access to ensure they had connectivity”.