25 minutos foi o tempo necessário para que o grupo Lapsus$ levou para atacar a empresa Okta e atingir 2 clientes.
Relatório Final sobre o ataque contra Okta
O diretor de segurança da Okta, David Bradbury, disse que o invasor só acessou os dois clientes ativos após obter o controle de uma única estação de trabalho usada por um engenheiro que trabalha para a Sitel, o provedor terceirizado de serviços de suporte ao cliente no centro do incidente.
Esse impacto inesperadamente limitado decorre da estreita janela de tempo de apenas 25 minutos consecutivos em que o agente da ameaça tinha controle sobre a estação de trabalho comprometida em 21 de janeiro de 2022.
“Durante essa janela de tempo limitada, o agente da ameaça acessou dois locatários de clientes ativos no aplicativo SuperUser (a quem notificamos separadamente) e visualizou informações adicionais limitadas em alguns outros aplicativos, como Slack e Jira, que não podem ser usados para executar ações no Okta. Locatários de clientes”, explicou Bradbury na terça-feira.
“O agente da ameaça não conseguiu realizar com sucesso nenhuma alteração de configuração, MFA, redefinições de senha ou eventos de ‘representação’ de suporte ao cliente.”
O CSO da Okta acrescentou que a empresa garantiria que seus provedores de serviços cumpram os novos requisitos de segurança, incluindo a adoção da arquitetura de segurança Zero Trust e a autenticação por meio da solução IDAM da Okta para todos os aplicativos do local de trabalho.
A Okta também encerrou seu relacionamento com a Sitel e agora está gerenciando diretamente todos os dispositivos de terceiros com acesso às suas ferramentas de suporte ao cliente.
Invadido através de infraestrutura “legada”
Okta admitiu no mês passado que cometeu um erro ao atrasar a divulgação de uma violação de janeiro do grupo de extorsão de dados Lapsus$, um erro causado pela empresa não estar ciente da extensão do incidente e seu impacto nos clientes.
Conforme relatado, a Okta começou a investigar as alegações de um hack depois que a Lapsus$ compartilhou capturas de tela em um canal do Telegram, sugerindo que eles violaram as redes de clientes da Okta.
Saiba mais aqui grupo Lapsus$ publica dados: Microsoft e Okta são novos alvos de grupo hacker.
Inicialmente, Okta disse que um hacker Lapsus$ obteve acesso à Área de Trabalho Remota (RDP) ao laptop de um engenheiro de suporte da Sitel em “uma janela de cinco dias” entre 16 e 21 de janeiro.
Mais tarde, a Sitel culpou a violação da infraestrutura “legada” da recém-adquirida Sykes, que contribuiu para o incidente e permitiu que os invasores acessassem o sistema do engenheiro.
No dia seguinte à divulgação, o CEO da Okta, Todd McKinnon, rotulou a ramificação como uma tentativa de comprometer a conta de um único engenheiro de suporte.
No entanto, a Okta disse mais tarde que 366 de seus clientes foram impactados pelo incidente.
“Embora o impacto geral do comprometimento tenha sido considerado significativamente menor do que inicialmente previsto, reconhecemos o grande preço que esse tipo de comprometimento pode ter sobre nossos clientes e sua confiança na Okta”, concluiu Bradbury hoje.
“Reconhecemos o quanto o Okta é crítico para tantas organizações e indivíduos que confiam neles, e estamos mais determinados do que nunca a entregar para eles.”
Afinal, assim como o Lapsus$ fez contra a Okta você consegue em 25 minutos comprometer um sistema de uma grande empresa?