Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

サポート担当の業務委託先が侵害被害 - Okta

同社は、Sitelに対する通知から調査報告書が提供されるまで長期間を要したとし、サマリーレポートを受け取った時点で、対応を進めるべきだったと反省の弁を述べた。

サービスそのものではなく、Oktaアカウントでログインしている端末が侵害を受けたものであることを強調。問題の5日間にすべてのSitelの従業員が行ったアクセスを調査、確認したところ、Oktaテナントにアクセスがあった約2.5%にあたる366の顧客に影響があることが判明したという。

サポートエンジニアには、顧客テナントの基本的な管理機能を実行するために使用されているとし、取得できる情報や実行できるアクションは制約されていると釈明。

顧客データベースをダウンロードしたり、ソースコードリポジトリにアクセスすることはできず、顧客において対応も不要とした。

対象となる顧客に対しては、SitelがOktaテナントに対して実行したアクションを示すレポートを提供。透明性を確保するとしている。

(Security NEXT - 2022/03/31 ) このエントリーをはてなブックマークに追加

関連リンク

PR

関連記事

Google、「Chrome 103」をリリース - 重要度「「クリティカル」の脆弱性に対処
全住民情報を委託先が紛失、飲食後路上で眠り込みカバンなくす - 尼崎市
尼崎市全住民の個人情報入りUSBメモリ、カバンごと発見される
公開議事録の個人情報、墨塗りするも確認できる状態 - 東京都
ランサム被害の鳴門山上病院、通常診療を再開
メタバース空間のセキュリティ指針を検討 - メタバース推進協議会ら
イオンのDX戦略資料が流出 - コンサル会社が他社との会議資料に提供
独自の脆弱性修正含む「Microsoft Edge 103.0.1264.37」が公開
「FFRI yarai」に新版、悪意あるOfficeマクロへの対策を強化
「OpenSSL」にスクリプトインジェクションの脆弱性 - アップデートが公開