Fuite de données : Okta admet que tous ses clients sont touchés

Okta a reconnu, le 29 novembre 2023, que l’incident de sécurité subi par la société en septembre 2023 était nettement plus grave qu’annoncé. À l’époque, le groupe américain, spécialisé dans la gestion centralisée de l’identité et des accès pour les entreprises, avait admis une intrusion malveillante. Il avait cependant assuré qu’elle ne touchait que 1 % de ses clients.

Par la voix de David Bradbury, son directeur de la sécurité, Okta a admis que les cybercriminels avaient en fait « téléchargé un rapport qui contenait les noms et adresses e-mail de tous les utilisateurs du système de support client », donc de l’immense majorité des clients du groupe. Pour 0,4 % de ces derniers, la fuite concerne aussi d’autres données personnelles, comme des noms d’utilisateurs, des numéros de téléphone et des adresses postales.

Okta ajoute que les cybercriminels ont réussi à s’emparer d’autres fichiers, sans préciser lesquels. « Nous travaillons avec une firme externe pour valider nos conclusions, et nous partagerons le rapport avec nos clients dès sa finalisation », lit-on dans le communiqué du groupe.

Selon David Bradbury, il n’existe actuellement aucune preuve d’une utilisation frauduleuse de ces données. Il admet toutefois qu’elles pourraient permettre de « cibler les clients d’Okta, via des attaques par phishing ou ingénierie sociale ».