Okta, uno dei principali fornitori di sistemi di gestione degli accessi, afferma che il 2,5%, circa 375 clienti, sono stati colpiti da un attacco informatico rivendicato dal gruppo di estorsione dei dati Lapsus$.
La società ha affermando che non ci sono azioni correttive che i suoi clienti dovrebbero intraprendere.
Finestra di opportunità di cinque giorni
Okta ha confermato oggi di aver subito un incidente di sicurezza a gennaio quando gli hacker hanno compromesso un laptop di uno dei suoi ingegneri di supporto con la possibilità di effettuare la reimpostazione della password per i clienti. Un’indagine sulla violazione ha mostrato che gli attori della minaccia hanno avuto accesso al laptop per cinque giorni, durante i quali sono stati in grado di accedere al pannello di assistenza clienti di Okta e al server Slack dell’azienda.
“Il rapporto ha evidenziato che c’era una finestra di tempo di cinque giorni tra il 16 e il 21 gennaio 2022, in cui un utente malintenzionato aveva accesso al laptop di un tecnico del supporto. Questo è coerente con gli screenshot di cui siamo venuti a conoscenza ieri”, dice Okta in una dichiarazione aggiornata sull’incidente.
Gli screenshot pubblicati dal gruppo Lapsus$ mostrano un indirizzo e-mail di un dipendente Okta che sembrava avere privilegi di “superutente” che consentivano loro di elencare gli utenti, reimpostare le password, reimpostare MFA e accedere ai ticket di supporto.
Tuttavia, la società spiega che, in caso di successo, tale compromesso sarebbe limitato alla quantità di accesso di cui dispongono gli operatore del supporto, il che impedisce la creazione o l’eliminazione di utenti o il download di database dei clienti.
“I tecnici del supporto hanno accesso a dati limitati – ad esempio, ticket Jira ed elenchi di utenti – che sono stati visti negli screenshot. I tecnici del supporto sono anche in grado di facilitare la reimpostazione delle password e i sistemi di autenticazione a più fattori [MFA] per gli utenti, ma non sono in grado di ottenere tali password”
Okta
In un aggiornamento successivo, Okta sta ora affermando che circa il 2,5% dei suoi clienti è stato colpito dall’attacco informatico Lapsus$. Poiché Okta ha oltre 15.000 clienti, ciò significa che circa 375 organizzazioni potrebbero aver avuto account compromessi in qualche modo.
“Abbiamo identificato quei clienti e li stiamo contattando direttamente. Se sei un cliente Okta e sei stato colpito, vi abbiamo già contattato direttamente via e-mail “, spiega l’aggiornamento di martedì sera di Okta.
Cloudflare reagisce alla violazione di Okta
Negli screenshot di Lapsus$ c’è anche un indirizzo email di un dipendente cloudflare la cui password stava per essere reimpostata da hacker che hanno compromesso l’account di un dipendente Okta. In un rapporto di oggi, la società web e sicurezza Cloudflare ha rivelato che l’account e-mail aziendale presente negli screenshot di Lapsus$ è stato sospeso circa 90 minuti dopo che il loro Security Incident Response Team (SIRT) ha ricevuto la prima notifica di un potenziale problema, la mattina presto del 22 marzo (03:30 UTC).
“In uno screenshot condiviso sui social media, l’indirizzo e-mail di un dipendente Cloudflare era visibile, insieme a un popup che indicava che l’hacker si stava fingendo un dipendente Okta e avrebbe potuto avviare una reimpostazione della password”
Cloudflare
Cloudflare osserva che i servizi Okta vengono utilizzati internamente per l’identità dei dipendenti integrata nello stack di autenticazione e che i suoi clienti non hanno nulla di cui preoccuparsi, “a meno che non utilizzino essi stessi Okta”.
Per eliminare qualsiasi possibilità di accesso non autorizzato ai propri account dei dipendenti, Cloudflare ha controllato tutte le reimpostazioni delle password o l’MFA modificato dal 1 ° dicembre 2021. In totale, 144 account risultano essere coinvolte e la società ha forzato una reimpostazione della password su tutti loro.
Okta è venuto a conoscenza del tentativo di violazione dopo aver rilevato “un tentativo fallito di compromettere l’account di un ingegnere dell’assistenza clienti che lavora per un fornitore di terze parti”. La società ha notificato al provider il problema allo stesso tempo terminando le sessioni attive dell’utente compromesso e sospendendo il proprio account.
Lapsus$ risponde
In risposta alle dichiarazioni di Okta di oggi, il gruppo Lapsus$ ha condiviso la sua parte della storia dicendo che non hanno compromesso il laptop di un dipendente Okta ma il loro thin client (sistema a basse prestazioni che si connette in remoto in un ambiente virtuale per svolgere attività). Gli hacker contestano l’affermazione di Okta secondo cui il compromesso non ha avuto successo sostenendo di “aver effettuato l’accesso al portale dei superutenti con la possibilità di reimpostare la password e l’MFA di circa il 95% dei clienti”.
Lapsus$ è noto principalmente per la perdita di dati proprietari rubati da grandi aziende come Samsung, NVIDIA e Mercado Libre. Il gruppo ha anche affermato di aver violato il server Azure DevOps interno di Microsoft e di aver fatto trapelare 37 GB di codice sorgente presumibilmente per Bing, Cortana e altri progetti Microsoft. Un’altra violazione che il gruppo sostiene è su LG Electronics, vantandosi che è la seconda volta in un anno che hanno hackerato i sistemi dell’azienda.
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!