Identiteitsprovider Okta heeft na een aanval waarbij de systemen door een groep aanvallers genaamd Lapsus$ werden gecompromitteerd de relatie met Sitel verbroken. Dit bedrijf verzorgde de klantensupport voor Okta. Wereldwijd maken duizenden bedrijven gebruik van Okta om werknemers toegang tot systemen te geven.

Okta kwam in maart onder vuur te liggen omdat het signalen van de aanval had genegeerd. De Lapsus$-groep plaatste in maart screenshots op internet dat ze toegang tot het account van een Okta-supportmedewerker hadden en onder andere wachtwoorden konden resetten. De supportmedewerker was werkzaam voor Sitel en had toegang tot Okta-systemen om zo klanten van het bedrijf te helpen.

Okta was op 20 januari al op de hoogte van de inbraak op het account van de supportmedewerker. Klanten werden echter twee maandenlang niet gewaarschuwd. Op 17 maart ontving Okta van Sitel een rapport over de inbraak. Toch werden klanten nog steeds niet gewaarschuwd. Pas nadat de aanvallers de screenshots publiceerden kwam de identiteitsprovider met een verklaring richting klanten. In een FAQ over het incident erkende Okta dat het een fout heeft gemaakt door klanten niet in januari te waarschuwen.

Nu is het bedrijf met een update over de aanval gekomen. Daarin laat het weten dat het de relatie met Sitel heeft verbroken. Eerder stelde dat mogelijk 366 klanten door de aanval waren getroffen. Dat waren er twee, aldus de update. Verder hebben de aanvallers geen configuratie-aanpassingen of resets van multifactorauthenticatie of wachtwoorden doorgevoerd.

Naast de breuk met Sitel gaat Okta strengere eisen stellen aan de beveiliging van partijen die de klantenservice verzorgen. Ook zegt Okta dat het alle systemen van derde partijen die toegang tot de klantensupporttools hebben direct gaat beheren en wordt de informatie beperkt die een supportmedewerker kan zien.