Okta代價高昂的網絡安全失敗：6000萬美元的透明度教訓

Okta Inc.(Nasdaq：OKTA)在2022年初面臨數據泄露，一羣黑客獲得了敏感的客户數據。不過，奧克塔沒有按時披露事件的細節。當管理層最終決定向公眾披露這次違規的程度時，對於這個問題的深度和公司的安全措施缺乏透明度。在這些事件發生后，2022年5月，一羣股東起訴Okta提供誤導性陳述、疏忽和遺漏。2024年7月19日，也就是近兩年后，奧克塔同意向受影響的股東支付6000萬美元，以了結這起訴訟。

這起最終導致訴訟的醜聞的根源可以追溯到Okta對Auth0的收購和整合。2021年5月，奧克塔以65億美元收購了Auth0，Inc.Auth0是一家提供客户身份和訪問管理軟件的公司。收購Auth0后，兩家公司的業務整合面臨重大打擊，因為合併兩個銷售部門存在嚴重困難。收購完成后不久，Auth0和Okta的幾位高管也離開了公司，影響了公司的業務。這一營業額影響了奧克塔的運營，然而，管理層避免向投資者披露這些問題，可能會讓投資者對這筆數十億美元的交易后奧克塔面臨的挑戰一無所知。

在這些挑戰中，Okta在2022年1月面臨數據安全事件。據稱，Okta未能保護其管理工具，特別是允許在沒有適當審查或安全措施的情況下訪問客户數據的「超級用户工具」。據報道，未經正式培訓的員工甚至可以使用家用筆記本電腦訪問客户數據。

此外，Okta未能對第三方供應商執行其「零信任」安全標準，導致2022年1月黑客從Lapsus$組織利用嚴重漏洞。

Lapsus$在他們的電報頻道上發佈了以下消息，確認他們可以訪問Okta的系統。Lapsus$發佈的一個這樣的屏幕截圖顯示，他們可以訪問Cloudflare租户，甚至可以重置員工密碼，這突顯了數據泄露的嚴重性。

起初，Okta否認了這一消息，稱該服務沒有被攻破，並在第三方試圖入侵系統的情況下仍在全面運營。然而，奧克塔試圖將這一壞消息最小化的努力很快升級為一場公關噩夢，導致該公司在2022年3月22日，也就是泄密事件發生兩個多月后，在Twitter上公開接受數據泄露事件，導致股票評級下調、高級管理層道歉，並提起了集體訴訟。

首席執行官託德·麥金農在推特上發帖后，該公司面臨嚴重后果。不久后，首席運營官大衞·布拉德伯里在一份官方聲明中報告稱，大約2.5%的客户可能受到了此次入侵的影響。這些事件惡化了投資者對Okta的信任，最終導致2022年3月23日股價下跌11%。這些事件最終在公司承認數據泄露后的一周內抹去了60億美元的市值。

鑑於這些發展，Raymond James下調了Okta的評級，並在給客户的報告中寫道：

2022年5月，當一羣股東起訴Okta，指控該公司未能分享安全漏洞的細節時，情況進一步惡化。他們還聲稱，Okta沒有采取足夠的措施來防止入侵，在淡化其脆弱性的同時推迟了披露。

然后，在2023年10月，Okta的客户支持系統再次遭遇數據泄露，導致該股下跌12%。這次入侵是通過一個被盜的憑據實現的，這使得黑客能夠登錄到支持案例管理系統。第二個月，管理層表示，攻擊者從支持系統竊取了所有用户的信息，包括客户姓名和電子郵件地址。儘管沒有直接證據表明被盜信息被濫用，但Okta要求客户保持警惕，稱此類數據可能會為網絡釣魚和社交工程企圖提供危險。

在這些安全威脅和訴訟問題中，Okta的股票在過去5年里下跌了35%，儘管其收入從2019年的3.99億美元大幅增長到2023年的22.6億美元。

Okta已同意支付6000萬美元，以了結與安全漏洞和股東訴訟有關的索賠。如果你在2022年投資了Okta，你可能有資格要求部分和解，以追回你的部分損失。

正如RT ProExec的Kevin LaCroix所指出的那樣，和解和更廣泛的安全漏洞問題突顯了不將透明度和網絡安全放在首位的嚴重法律和金融風險。對於最高管理層來説，這起訴訟發出了一個明確的信息：法律挑戰是可以處理的，但恢復失去的信任是一場艱難得多的戰鬥。