Okta, firma uwierzytelniająca używana przez tysiące organizacji na całym świecie, potwierdziła, że atakujący uzyskał dostęp do jednego z laptopów swoich pracowników na pięć dni w styczniu 2022 r. – ale twierdzi, że jego usługa „nie została zhakowana i nadal jest w pełni funkcjonalna”. .
Rewelacja pojawia się, gdy grupa hakerska $Lapsus opublikowała zrzuty ekranu swojego kanału Telegram, twierdząc, że pochodzi z wnętrza Okta, w tym jeden, który wydaje się pokazywać kanały Okta Slack, i jeden z interfejsem Cloudflare.
Każde włamanie do Okta może mieć poważne reperkusje dla firm, uniwersytetów i agencji rządowych, które polegają na Okta do uwierzytelniania dostępu użytkowników do systemów wewnętrznych.
Jednak W oświadczeniu we wtorek po południuTeraz Okta twierdzi, że atakujący miał ograniczony dostęp w ciągu tych pięciu dni – na tyle ograniczony, że firma twierdzi, że „nie ma żadnych działań naprawczych, które nasi klienci powinni podjąć”.
Oto, co według Davida Bradbury, dyrektora ds. bezpieczeństwa w Okta, jest zagrożone, gdy inżynier pomocy technicznej zostanie naruszony:
Potencjalny wpływ klientów Okta ogranicza się do zasięgu inżynierów wsparcia. Inżynierowie ci nie mogą tworzyć ani usuwać użytkowników ani pobierać baz danych klientów. Inżynierowie pomocy technicznej mają dostęp do ograniczonych danych — na przykład zgłoszeń Jira i list użytkowników — widocznych na zrzutach ekranu. Inżynierowie pomocy technicznej mogą również ułatwić resetowanie hasła i MSZ Agenty użytkowników, ale nie mogą uzyskać tych haseł.
Grupa hakerska $Lapsus, pisząc na swoim kanale Telegram, twierdzi, że miała dostęp „użytkownika/administratora” do systemów Okta przez dwa miesiące, a nie tylko pięć dni, oraz że ma dostęp do cienkiego klienta zamiast laptopa i twierdzi, że ma okazało się, że Okta przechowuje klucze AWS w kanałach Slack. Grupa wskazała również, że korzysta z zerowego dostępu u klientów Okta. Dziennik Wall Street Uwagi W niedawnym zgłoszeniu Okta powiedział, że ma ponad 15 000 klientów na całym świecie. Wśród klientów wymienia takie firmy jak Peloton, Sonos, T-Mobile i FCC Na jej stronie internetowej.
W poprzednim oświadczeniu wysłanym do krawędźRzecznik Okta, Chris Hollis, powiedział, że firma nie znalazła dowodów na trwający atak. „Pod koniec stycznia 2022 r. Okta odkryła próbę włamania się na konto zewnętrznego inżyniera obsługi klienta pracującego dla jednego z naszych podprocesorów. Sprawa została zbadana i rozwiązana przez podprocesora.” – powiedział Hollis. „Uważamy, że zrzuty ekranu udostępnione online są związane z tym styczniowym wydarzeniem”.
„Na podstawie naszego dotychczasowego dochodzenia nie ma dowodów na trwającą szkodliwą aktywność inną niż aktywność wykryta w styczniu” — kontynuował Hollis. Ale znowu piszę na ich kanale Telegram, Zaproponuj Lapsus $ Udało mu się przebić przez kilka miesięcy.
To nasza trzecia próba udostępnienia zdjęcia od piątej do ósmej. $LAPSUS wyświetlał wiele poufnych informacji i/lub informacji o użytkownikach, więc w końcu tracimy możliwość cenzurowania niektórych z nich.
Zdjęcia 5-8 są załączone poniżej. pic.twitter.com/KGlI3TlCqT
– vx-underground (vxunderground) 22 marca 2022
$Lapsus to grupa hakerska, która przyznała się do szeregu znaczących incydentów, które miały wpływ NVIDIAA SamsungA MicrosoftA UbisoftW niektórych przypadkach kradną setki gigabajtów poufnych danych.
Okta twierdzi, że zakończyła sesje inżyniera wsparcia Okta i zawiesiła konto w styczniu, ale twierdzi, że dopiero w tym tygodniu otrzymała raport końcowy od swojej firmy kryminalistycznej.
Aktualizacja, 14:38 czasu wschodniego: W oświadczeniu i zarzutach Okty dodano, że naruszenie było bardzo ograniczone i nie trzeba było podejmować żadnych działań naprawczych.
Aktualizacja, 14:58 czasu wschodniego: Grupa Lapsus $hacker dodała, że ma dostęp do cienkiego klienta zamiast laptopa i że odkryła, że Okta przechowuje klucze AWS w kanałach Slack.