وكتبت مجموعة من مهندسي Cloudflare يوم الجمعة: “هذه هي المرة الثانية التي تتأثر فيها Cloudflare بخرق أنظمة Okta”. واستمروا في مشاركة قائمة من التوصيات حول كيفية قيام Okta بتحسين وضعها الأمني: “خذ أي تقرير عن التسوية على محمل الجد واعمل على الفور للحد من الضرر. قم بتقديم إفصاحات مسؤولة وفي الوقت المناسب لعملائك عندما تكتشف أن انتهاكًا لأنظمتك قد أثر عليهم. تتطلب مفاتيح الأجهزة لحماية جميع الأنظمة، بما في ذلك موفري الدعم الخارجيين.
أضاف مهندسو Cloudflare أنهم ينظرون إلى اتخاذ خطوات وقائية كهذه على أنها “حصص مائدة” لشركة مثل Okta التي توفر مثل هذه الخدمات الأمنية المهمة للعديد من المؤسسات.
عندما طرحت WIRED على Okta سلسلة من الأسئلة حول الخطوات التي تتخذها لتحسين دفاعات خدمة العملاء في أعقاب الاختراقين، ولماذا يبدو أن هناك نقصًا في الإلحاح عندما تتلقى الشركة تقارير عن حوادث محتملة، رفضت الشركة الإجابة تعليق. وقال متحدث باسم الشركة إنها ستشارك المزيد من المعلومات حول هذه المواضيع قريبًا.
يقول إيفان جونسون، المؤسس المشارك لشركة RunReveal، التي تعمل على تطوير أداة رؤية النظام والكشف عن الحوادث: “أريد حقًا أن أعرف ما هي الضوابط الفنية التي نفذتها شركة Okta بعد الاختراق الذي حدث في عام 2022، ولماذا ستكون هذه المرة مختلفة”. “حدسي هو أنهم لم يطرحوا مفاتيح أمان الأجهزة، أو لم يطرحوها لمقاوليهم الذين يقدمون الدعم.”
ويؤكد جيك ويليامز، وهو هاكر سابق بوكالة الأمن القومي الأمريكية وعضو هيئة التدريس الحالي في معهد أمن الشبكات التطبيقي، أن “المسألة أكبر من أوكتا”، مشيرًا إلى أن هجمات سلسلة توريد البرمجيات وحجم الاختراقات التي يجب على الشركات الدفاع عنها أمر كبير. . ويقول: “من الشائع للأسف أن يجد مقدمو الخدمات من أي حجم صعوبة في الاعتقاد بأنهم مصدر الحادث حتى يتم تقديم دليل قاطع”.
ومع ذلك، يضيف ويليامز: “هناك نمط هنا مع شركة أوكتا، وهو يتضمن دعمًا خارجيًا”. ويشير أيضًا إلى أن إحدى عمليات الإصلاح التي اقترحتها Okta على العملاء في أعقاب الحادث الأخير – وهي إزالة الرموز المميزة لجلسة الدعم بعناية والتي يمكن اختراقها من خلال استكشاف الأخطاء وإصلاحها – ليست واقعية.
يقول: “اقتراح أوكتا – بأن العميل يجب أن يكون مسؤولاً بطريقة أو بأخرى عن تجريد الرموز المميزة للجلسة من الملفات التي يطلبها على وجه التحديد لأغراض استكشاف الأخطاء وإصلاحها – هو اقتراح سخيف”. “هذا مثل إعطاء سكين لطفل صغير ثم إلقاء اللوم على الطفل بسبب النزيف.”
