• في يناير 2022، تعرضت شركة Okta لخرق أمني للبيانات، لكن الأمر استغرق شهرين حتى تتمكن الشركة من الكشف عن المدى الكامل لتأثير الحادث.
• وعندما كشفت شركة أوكتا أخيرًا عن التفاصيل، قللت الإدارة من خطورة الاختراق والإجراءات الأمنية غير الكافية التي اتخذتها الشركة. كما فشلت في معالجة الخسائر في الإيرادات الناجمة عن الحادث.
• وعلى الرغم من نفي شركة أوكتا في البداية لاختراق البيانات، إلا أن الرئيس التنفيذي للشركة اعترف لاحقًا بالحادث عبر تويتر، مما أدى إلى انخفاض سعر السهم بنسبة 11%.
• في 20 مايو 2022، رفعت مجموعة من المستثمرين دعوى قضائية ضد الشركة للمطالبة بتعويضات.
• وافقت الشركة على دفع 60 مليون دولار للمساهمين المتضررين لتسوية هذه الدعوى القضائية. ويمكن للمستثمرين المتضررين الآن تقديم مطالبة لتلقي المبلغ.

ملخص

واجهت شركة Okta Inc. (NASDAQ: OKTA ) خرقًا للبيانات في أوائل عام 2022 وحصلت مجموعة من المتسللين على بيانات حساسة للعملاء. ومع ذلك، لم تكشف Okta عن تفاصيل الحادث في الوقت المحدد. عندما قررت الإدارة أخيرًا الكشف عن مدى هذا الخرق للجمهور، كان هناك نقص في الشفافية فيما يتعلق بعمق هذه المشكلة وتدابير الأمن الخاصة بالشركة. في أعقاب هذه الأحداث، في مايو 2022، رفعت مجموعة من المساهمين دعوى قضائية ضد Okta لتقديم بيانات مضللة والإهمال والإغفالات. في 19 يوليو 2024، بعد ما يقرب من عامين، وافقت Okta على دفع 60 مليون دولار للمساهمين المتضررين لتسوية هذه الدعوى القضائية.

تتحمل شركة أوكتا اللوم على نفسها بسبب رد فعل المستثمرين العنيف

تعود جذور الفضيحة، التي أدت في النهاية إلى الدعوى القضائية، إلى استحواذ Okta على Auth0 ودمجها. في مايو 2021، استحوذت Okta على Auth0، Inc. مقابل 6.5 مليار دولار. Auth0 هي شركة توفر برامج إدارة هوية العملاء والوصول إليهم. بعد الاستحواذ على Auth0، واجه التكامل التجاري للشركتين ضربة كبيرة حيث كانت هناك صعوبات شديدة في الجمع بين قسمي المبيعات. بعد فترة وجيزة من الاستحواذ، غادر العديد من كبار القادة من Auth0 وOkta الشركة أيضًا، مما أثر على الأعمال. أثر هذا الدوران على عمليات Okta، ومع ذلك، تجنبت الإدارة الكشف عن هذه المشكلات للمستثمرين، مما قد يبقي المستثمرين في الظلام بشأن التحديات التي واجهتها Okta في أعقاب هذه الصفقة التي بلغت قيمتها عدة مليارات من الدولارات.

وفي خضم هذه التحديات، واجهت أوكتا حادثة تتعلق بأمن البيانات في يناير/كانون الثاني 2022. ويُزعم أن أوكتا فشلت في تأمين أدواتها الإدارية، وخاصة "أداة المستخدم الفائق"، التي سمحت بالوصول إلى بيانات العملاء دون فحص مناسب أو تدابير أمنية. وبحسب ما ورد، كان بإمكان الموظفين الذين لم يتلقوا تدريبًا رسميًا الوصول إلى بيانات العملاء حتى باستخدام أجهزة الكمبيوتر المحمولة في منازلهم.

بالإضافة إلى ذلك، فشلت Okta في فرض معايير الأمان "Zero Trust" على البائعين الخارجيين، مما أدى إلى استغلال نقاط ضعف حرجة من قبل المتسللين من مجموعة LAPSUS$ في يناير 2022.

نشرت LAPSUS$ الرسالة التالية على قناتها على Telegram، مؤكدة أنها تتمتع بإمكانية الوصول إلى أنظمة Okta. كشفت إحدى لقطة الشاشة التي نشرتها LAPSUS$ أنها تمكنت من الوصول إلى مستأجر Cloudflare مع القدرة على إعادة تعيين كلمات مرور الموظفين، وهو ما يسلط الضوء على خطورة خرق البيانات.

في البداية، نفت شركة أوكتا الخبر، مشيرة إلى أن الخدمة لم تتعرض للاختراق وظلت تعمل بكامل طاقتها بينما قام طرف ثالث "بمحاولة فاشلة" لاختراق الأنظمة. ومع ذلك، سرعان ما تصاعدت محاولات أوكتا للتقليل من شأن هذه الأخبار السيئة إلى كابوس للعلاقات العامة، مما أدى إلى خفض تصنيف الأسهم واعتذار الإدارة العليا ودعوى قضائية جماعية بعد أن قبلت الشركة علنًا اختراق البيانات على تويتر في 22 مارس 2022، بعد أكثر من شهرين من حدوث الاختراق.

واجهت الشركة عواقب وخيمة في أعقاب تغريدة الرئيس التنفيذي تود ماكينون على تويتر. وبعد فترة وجيزة، أفاد مدير العمليات الاستراتيجية ديفيد برادبري في بيان رسمي أن حوالي 2.5٪ من العملاء ربما تأثروا بالاختراق. أدت هذه الأحداث إلى تدهور ثقة المستثمرين في Okta، مما أدى في النهاية إلى انخفاض بنسبة 11٪ في سعر السهم في 23 مارس 2022. أدت هذه الأحداث في النهاية إلى محو 6 مليارات دولار من القيمة السوقية للشركة في غضون أسبوع واحد فقط من اعتراف الشركة باختراق البيانات.

وفي ضوء هذه التطورات، قامت شركة ريموند جيمس بتخفيض تصنيف أوكتا وكتبت في مذكرة إلى العملاء:

"في حين كان الشركاء على استعداد للثقة في سجل Okta، فإن التعامل مع أحدث حادث أمني لها يضيف إلى مخاوفنا المتزايدة."

تفاقم الوضع في مايو 2022 عندما رفعت مجموعة من المساهمين دعوى قضائية ضد Okta، متهمين الشركة بالفشل في مشاركة التفاصيل حول خرق الأمان. كما زعموا أن Okta لم تتخذ خطوات كافية لمنع الاختراق وأخرت الكشف عنه مع التقليل من نقاط ضعفها.

ثم في أكتوبر 2023، تعرضت شركة أوكتا لاختراق آخر للبيانات في نظام دعم العملاء، مما تسبب في انخفاض السهم بنسبة 12%. وقد حدث الاختراق من خلال بيانات اعتماد مسروقة، مما مكن المتسللين من تسجيل الدخول إلى نظام إدارة حالات الدعم. وفي الشهر التالي، ذكرت الإدارة أن المهاجمين سرقوا معلومات حول جميع المستخدمين من نظام الدعم، بما في ذلك أسماء العملاء وعناوين البريد الإلكتروني. وعلى الرغم من عدم وجود دليل مباشر على إساءة استخدام المعلومات المسروقة، فقد طلبت أوكتا من العملاء توخي الحذر، مشيرة إلى أن مثل هذه البيانات قد تكون خطيرة في تسهيل محاولات التصيد والهندسة الاجتماعية.

وفي ظل هذه التهديدات الأمنية وقضايا التقاضي، انخفض سهم أوكتا بنسبة 35% في السنوات الخمس الماضية على الرغم من زيادة إيراداتها بشكل كبير من 399 مليون دولار فقط في عام 2019 إلى 2.26 مليار دولار في عام 2023.

حل القضية

وافقت شركة Okta على دفع 60 مليون دولار لتسوية المطالبات المتعلقة بخرق الأمن ودعوى المساهمين. إذا استثمرت في Okta في عام 2022، فقد تكون مؤهلاً للمطالبة بجزء من التسوية لاسترداد بعض خسائرك.

إن التسوية وقضايا الاختراق الأمني الأوسع نطاقاً تؤكد على المخاطر القانونية والمالية الجسيمة المترتبة على عدم إعطاء الأولوية للشفافية والأمن السيبراني، كما أشار كيفن لاكروا من شركة RT ProExec. وبالنسبة للإدارة العليا، ترسل الدعوى القضائية رسالة واضحة: يمكن التعامل مع التحديات القانونية، ولكن استعادة الثقة المفقودة معركة أصعب كثيراً.