Cloudflare проверила каждого сотрудника, который с 1 декабря прошлого года сбрасывал пароль своей учетной записи.
Специалисты компании Cloudflare провели расследование взлома Okta в январе 2022 года и пришли к выводу, что компьютерные системы Cloudflare не были скомпрометированы.
В январе 2022 года хакеры получили доступ к учетной записи сотрудника службы поддержки Okta и могли выполнять действия от его имени. Cloudflare узнала об инциденте от команды специалистов SIRT Cloudflare. Сразу после сообщения об инциденте компания временно отключила доступ для сотрудника Cloudflare, чей адрес электронной почты появился на скриншотах хакеров.
Cloudflare также проверила каждого сотрудника, который с 1 декабря прошлого года сбрасывал пароль своей учетной записи или менял настройки многофакторной аутентификации (MFA). С 1 декабря 2021 года 144 сотрудника Cloudflare сбросили свой пароль или поменяли настройки MFA. Компания заставила их всех сбросить пароль.
Cloudflare использует Okta в качестве поставщика удостоверений, интегрированного с Cloudflare Access. Это позволяет гарантировать пользователям безопасный доступ к внутренним ресурсам. В случае компрометации Okta было бы недостаточно просто изменить пароль пользователя. Злоумышленнику также потребуется изменить аппаратный токен (FIDO), настроенный для того же пользователя. В связи с этим обнаружить скомпрометированные учетные записи на основе соответствующих аппаратных ключей не составило бы труда.
Несмотря на то, что логи доступны в консоли Okta, Cloudflare также хранит их в собственных системах. Это добавляет дополнительный уровень безопасности и гарантирует, что компрометация платформы Okta не приведет к изменению собранных данных.
Okta не используется для аутентификации клиентов в Cloudflare, и компания не хранит данные клиентов в Okta. Она используется только для управления учетными записями сотрудников.