Okta, Ocak ayında gerçekleşen Lapsus$ veri hırsızlığı grubunun ifşaat hackini geciktirerek hata yaptığını kabul etti.
Ayrıca şirket, olayın ve soruşturma faaliyetlerinin ayrıntılı bir zaman çizelgesini de sağladı.
Okta: Geç ihlal ifşasında “hata yaptık”
Cuma günü Okta, Lapsus$ hackiyle ilgili ayrıntıları daha erken açıklamadığı için üzgün olduğunu dile getirdi ve olayın ve soruşturmanın ayrıntılı bir zaman çizelgesini paylaştı.
Lapsus$ veri hırsızlığı grubunun saldırısı, Okta’nın üçüncü taraf müşteri destek hizmetleri sağlayıcısı olan Sitel’den kaynaklandı.
“20 Ocak 2022’de Okta Güvenlik ekibi, bir Sitel müşteri destek mühendisinin Okta hesabına yeni bir faktörün eklendiği konusunda uyarıldı. Bu faktör bir şifreydi,” açıklar Sekiz.
“Bu bireysel girişim başarısız olsa da, çok dikkatli olmamız nedeniyle, hesabı sıfırladık ve Sitel’i bilgilendirdik”, daha sonra önde gelen bir adli tıp şirketini bir soruşturma yürütmesi için görevlendirdi.
Okta, “Bir hata yaptığımızı kabul etmek istiyoruz” diyerek, Sitel gibi anlaşmalı hizmet sağlayıcılarından nihai olarak kendisinin sorumlu olduğunu kabul ediyor.
Okta, Ocak ayında, şirketin, Sitel destek mühendisini hedef alan başarısız bir hesap devralma girişimiyle sınırlı olduğuna inandığı olayın boyutundan haberdar olmadığını iddia ediyor.
Sitel’in olayı araştırmak ve bir rapor hazırlamak için bir adli tıp firmasıyla angaje olması, o sırada Okta’ya konunun daha fazla tırmanmasına gerek olmadığına dair güvence verdi.
“O zaman Okta ve müşterilerimiz için bir risk olduğunu bilmiyorduk. Sitel’den daha aktif ve zorunlu bilgi almalıydık. Geçen hafta topladığımız kanıtlar ışığında, bu açık. Bugün sahip olduğumuz tüm gerçeklere sahip olsaydık farklı bir karar verirdik” diyor Okta.
Okta’nın hisseleri açıklamanın ardından neredeyse %20 düştü
Okta’nın bu ay Ocak ayındaki siber olayı gelişigüzel açıklamasının ardından, şirketin hisse senedi fiyatı bir haftadan kısa bir sürede neredeyse %20 düştü:
BleepingComputer tarafından bu hafta bildirildiği üzere, Okta daha önce hack iddialarını araştırmak Lapsus$ veri gaspından sonra grup üyeleri bir Telegram sohbetinde Okta’nın müşteri ağlarına erişimleri olduğunu ima eden birkaç ekran görüntüsü paylaştı:
Başlangıçta, Okta’nın CEO’su Todd McKinnon bu olayı “” olarak nitelendirdi.girişim” Tehdit aktörleri tarafından bir destek mühendisinin hesabını tehlikeye atmak. Ancak daha sonra anlaşıldı ki Okta’nın müşterilerinin %2,5’i—366 tam olarak, olaydan gerçekten etkilendi.
Saldırı, 16-21 Ocak tarihleri arasında bir saldırganın Sitel destek mühendisinin dizüstü bilgisayarına Uzak Masaüstü (RDP) erişimi elde ettiği “beş günlük bir zaman aralığı”na yayıldı.
Neyse ki Okta’ya göre Sitel’in destek mühendisleri Jira biletlerine ve destek sistemlerine sınırlı erişime sahipler, ancak müşteri kayıtlarını indirmeleri, oluşturmaları veya silmeleri kısıtlı.
Okta, “Destek mühendisleri, kullanıcılar için parolaların sıfırlanmasını ve çok faktörlü kimlik doğrulama faktörlerini kolaylaştırabilir, ancak bu parolaları seçemezler” diye açıklıyor.
Başka bir deyişle, destek mühendisleri kullanıcılar için tekrar tekrar parola sıfırlama işlemini tetikleyebilir, ancak kullanıcı hesaplarında oturum açamaz.
Okta, Lapsus$ grubu tarafından paylaşılan ekran görüntülerinin Sitel mühendisinin ele geçirilmiş hesabından sınırlı erişimle alındığını açıklıyor.
Şirket ayrıca Lapsus$ grubunun “süper kullanıcı/yönetici” erişimi elde etme iddiasını da reddederek, Lapsus$ tarafından elde edilen erişimin dahili bir Okta destek aracıyla sınırlı kaldığını ve ” ile eşanlamlı olmadığını açıkladı.süper yönetici” tüm kullanıcılara ve sistem varlıklarına tam erişim sağlayan erişim.
Okta, Sitel mühendisleri tarafından kullanılan uygulamanın, destek mühendislerinin yalnızca görevlerini yerine getirmek için ihtiyaç duydukları belirli erişime sahip olmalarını sağlamak için “en az ayrıcalık düşünülerek” oluşturulduğunu açıklıyor.
Ne olursa olsun, şirket, soruşturma sonuçlarının ortaya çıkması için geçen uzun süre nedeniyle hayal kırıklığını dile getirdi:
“Sitel’e bildirimimiz ile tam soruşturma raporunun yayınlanması arasında geçen uzun süre beni büyük hayal kırıklığına uğrattı” dedi. dedim Okta’nın Baş Güvenlik Görevlisi David Bradbury.
“Düşündükten sonra, Sitel özet raporunu aldığımızda, etkilerini anlamak için daha hızlı hareket etmeliydik.”
İki ay önce meydana gelen siber olayın güvenilir bir resmine ulaşmak için 125.000’den fazla günlük girişini analiz ederek saatler harcayan Okta’nın güvenlik ekipleri için yoğun bir hafta oldu.
Bradbury, “Tüm güvenlik olaylarında olduğu gibi, süreçlerimizi ve iletişimimizi iyileştirmemiz için birçok fırsat var. Doğru yönde ilerlediğimizden eminim ve bu olay yalnızca güvenliğe olan bağlılığımızı güçlendirmeye hizmet edecektir.”