Okta’nın dış kaynaklı destek hizmetleri sağlayıcısı Sitel (Sykes), Lapsus$ saldırısının ardından Sitel tarafından yürütülen çeşitli olay müdahale görevlerinin ayrıntılarını veren sızdırılmış belgelere yanıt olarak bu hafta daha fazla bilgi paylaştı.
Bir araştırmacı tarafından çevrimiçi olarak sızdırılan belgeler, Sitel’in LastPass’ten alınan etki alanı yöneticisi şifrelerini bir Excel elektronik tablosunda sakladığı efsanesini sürdürdü – şimdi Sitel tarafından reddedilen bir iddia.
Sitel: Excel elektronik tablosunda parola yoktu
28 Mart Pazartesi günü, infosec araştırmacısı Bill Demirkapı, “Mandiant raporu” olarak adlandırdığı ve ayrıntılı bir zaman çizelgesini gösteren belgeleri paylaştı. Okta ihlali ve Okta’nın üçüncü taraf destek sağlayıcısı Sitel (Sykes) tarafından yürütülen olay müdahale faaliyetleri.
“Utanç verici Sitel/SYKES ihlal zaman çizelgesini ve LAPSUS$ grubunun metodolojisini detaylandıran Mandiant raporunun kopyalarını aldım,” tweetlendi Araştırmacı.
Belgeler, tehdit aktörlerinin bir Excel elektronik tablosunu görüntülediğini ileri sürdü. DomAdmins-LastPass.xlsx bu — adından da anlaşılacağı gibi, muhtemelen Sitel’in LastPass’ten dışa aktarılan alan yöneticisi kimlik bilgilerini içeriyordu.
O sırada bu belgelerin gerçekliği sorulduğunda, ne Sitel ne de Mandiant iddiaya itiraz etmedi, buna göre infosec gazetecisi Zack Whittaker.
Veri ihlali zaman çizelgesine atıfta bulunan Demirkapı, bilgisayar korsanlarının bir Windows ayrıcalık yükseltme sıfır gün güvenlik açığı, CVE-2021-34484.
İçinde ifade Ancak bu hafta yayınlanan Sitel, elektronik tablonun parola içerdiğini veya elektronik tablonun güvenlik olayından sorumlu olduğunu iddia eden “bildirilen yanlışlıklara” değindi.
Sitel, “Son haber makalelerinde tanımlanan bu ‘e-tablo’, eski Sykes’taki hesap adlarını basitçe listeledi, ancak herhangi bir şifre içermiyordu” diye açıklıyor. Edinilen Ağustos 2021’de iş süreci dış kaynak sağlayıcısı Sykes.
“E-tablodaki parolalara ilişkin tek referans, listelenen hesap başına parolaların değiştirildiği tarihtir; bu elektronik tabloya hiçbir parola dahil edilmemiştir. Bu tür bilgiler yanlış ve yanıltıcıdır ve [the spreadsheet] olaya katkıda bulunmadı.”
Ayrıca Sitel, Ocak ayı ihlalini suçlayarak yeni satın alınan Sykes’taki “eski” altyapıyı suçladı ve bu da olaya katkıda bulundu.
21 Ocak’ta Sitel, “konuyla ilgili acil ve kapsamlı bir adli soruşturma yürütmek için oldukça deneyimli, siber güvenlik liderini görevlendirdi” ve bu, Sitel’in Mandiant ile olan ilişkisine de işaret ediyor.
Araştırmacı, belgelerin NDA’yı ihlal etmediğini söylüyor
“Mandiant raporunu” paylaştıktan kısa bir süre sonra Demirkapı, Zoom’dan ayrıldığını kısaca duyurdu.
Araştırmacıya göre, belgeler bağımsız olarak elde edildi ve herhangi bir Gizlilik Sözleşmesini ihlal etmedi (Zoom ile).
müteakip olarak cıvıldamakDemirkapı, belgelerin “avukat-müvekkil imtiyazı” da olmadığını ve bunları paylaşma sürecinde herhangi bir sözleşme imzalamadığını açıkladı.
Ancak bu, yine de bu belgelerin kaynağını, kaynağın niteliğini ve tamamen yasal olarak elde edilip edilmediğini açıklamıyor.
BleepingComputer, birçok işletme gibi, her ikisinin de site ve Sykes Zoom müşterileri ve Okta ve Zoom da bir iş ilişkisi sürdürmekmüşterilerinden bir ‘talep’ gelmesi durumunda herhangi bir çıkar çatışmasını en aza indirmenin Zoom’un çıkarına olacağını ima etti.
Ne Zoom ne de Demirkapı, BleepingComputer’ın önceden gönderilen çok sayıda yorum talebine yanıt vermedi.
Özet: Okta-Lapsus$ ihlali
Her şey 22 Mart civarında Lapsus$ veri hırsızlığı grubunun Telegram’da Okta’nın müşteri ağlarını ihlal ettiğini iddia ederek birkaç ekran görüntüsü yayınlamasıyla başladı.
Telegram mesajının ardından Okta başladı araştırmak bu veri ihlali iddiaları.
Başlangıçta Okta olayı “”girişim” Ocak ayında bilgisayar korsanları tarafından üçüncü taraf bir destek mühendisinin hesabını tehlikeye atmak için. Ancak daha sonra anlaşıldı ki Okta’nın müşterilerinin %2,5’i—366 tam olarak, olaydan gerçekten etkilendi.
oktalar iki aylık gecikme ifşa ifadesindeki tutarsızlıklarla birlikte veri ihlalinin kamuya açıklanması topluluktan çok fazla tepki aldı. Şirketin hisse senedi fiyatı da bir haftadan kısa bir sürede değerinin beşte bir oranında düştü.
Gelişmeden günler sonra, Londra polisi yedi üyeyi tutukladı şirketlerden özel verileri sızdırdığı için Lapsus$ çetesiyle bağlantılı Nvidia, Samsung, Microsoftve en son Okta.
İhlalin geç ifşa edilmesi nedeniyle geçen hafta bir özür yayınlarken, Okta gecikmeden kısmen Sitel’i sorumlu tuttuancak yine de sözleşmeli üçüncü taraf sağlayıcılarına karşı sorumluluk taşıdığını kabul etti.
h/t Bu Güvenlikten Kaçın tüyo için.