Önde gelen bir kimlik doğrulama hizmetleri ve Kimlik ve erişim yönetimi (IAM) çözümleri sağlayıcısı olan Okta, veri ihlali iddialarını araştırdığını söylüyor.
Salı günü, veri hırsızlığı grubu Lapsus$, Telegram kanallarında Okta’nın arka uç yönetim konsollarına ve müşteri verilerine erişim olduğunu iddia ettikleri ekran görüntülerini yayınladı.
6 milyar doların üzerinde bir değere sahip halka açık bir şirket olarak Okta, dünya çapında 5.000’den fazla kişiyi istihdam etmekte ve Siemens, ITV, Pret a Manger, Starling Bank gibi büyük kuruluşlara kimlik yönetimi ve kimlik doğrulama hizmetleri sunmaktadır.
Lapsus$, Okta müşteri verilerine sahip olduğunu iddia ediyor
Veri hırsızlığı grubu Lapsus$, Okta.com’a “süper kullanıcı/yönetici” erişimi elde ettiğini ve BleepingComputer tarafından görüldüğü gibi Okta’nın müşteri verilerine eriştiğini iddia ediyor:

Bir Okta sözcüsü BleepingComputer’a verdiği demeçte, “Okta raporlardan haberdar ve şu anda araştırıyor” dedi.
“Daha fazla bilgi mevcut olduğunda güncellemeleri sağlayacağız.”
Lapsus$ tarafından paylaşılan ekran görüntüleri, BleepingComputer tarafından görüldüğü gibi, 21 Ocak 2022 olarak ayarlanan sistem tarihini gösteriyor ve hack’in aylar önce gerçekleşmiş olabileceğini gösteriyor.
Okta’nın yönetici konsoluna Lapsus$’ ‘süper kullanıcı’ erişimini gösteren ekran görüntülerinden biri, muhtemelen güvenliği ihlal edilmiş bir Okta müşteri destek temsilcisine ait bir e-posta içeren bir URL’yi de içeriyor.
Okta’nın kurucu ortağı ve CEO’su Todd McKinnon şimdi bunu doğruladı:
McKinnon, “Çevrimiçi olarak paylaşılan ekran görüntülerinin bu Ocak etkinliğiyle bağlantılı olduğuna inanıyoruz” diyor.
“Bugüne kadarki araştırmamıza göre, Ocak ayında tespit edilen faaliyetin ötesinde devam eden kötü niyetli faaliyet olduğuna dair bir kanıt yok.”
Ancak yayınlanan ekran görüntülerinden biri, Lapsus$’ın Okta’nın yönetici panelini kullanarak müşteri şifrelerini değiştirebileceğini gösteriyor.
Güvenlik araştırmacıları, hack grubunun bu ‘süper kullanıcı’ erişimini, şirketin kimlik doğrulama çözümlerini kullanan müşteri sunucularını ihlal etmenin bir yolu olarak kullanmış olabileceğinden endişe ediyor.
Lapsus$, Okta’ya şirketin veritabanlarını çalmak için saldırmadıklarını, daha çok müşterilerini hedef aldıklarını söylediklerinde de bu teoriyi güçlendirdi.
Lapsus$, Telegram’daki bir gönderide, “İNSANLAR SORMAYA BAŞLAMADAN ÖNCE: OKTA’DAN HİÇBİR VERİTABANINA ERİŞMEDİK/ÇALMADIK – odak noktamız YALNIZCA okta müşterileriydi,” dedi.
Fedex, Peloton, SONOS, T-Mobile, Hewlett Packard Enterprise ve JetBlue dahil olmak üzere Okta’nın hizmetlerini kullanan birçok tanınmış şirketle, bu açıkça önemli bir endişe kaynağıdır.
Lapsus$ sızdırıyor
Geliştirme, Microsoft’un dahili Azure DevOps sunucusunu ihlal ettiğine dair Lapsus$’ iddialarını takip ediyor.
Pazartesi günü, Lapsus$ iddia ettiği şeyi sızdırdı 37 GB çalıntı kaynak kodu Bing, Cortana ve diğer Microsoft projeleri için ve Microsoft, araştırdığını doğruladı.
Ek olarak, grup bugün bir yıl içinde “ikinci kez” LG Electronics’i (LGE) ihlal ettiğini iddia etti. BleepingComputer bu iddiayı doğrulamadı ve LG’ye ulaştı:

Lapsus$, daha önce, aşağıdakiler gibi önde gelen şirketlerden çalındığı iddia edilen gigabaytlarca özel veriyi sızdırmıştı. Samsung, NVIDIAve Serbest pazar Kim bu ay bir ihlal yaşadığını doğruladı.
Lapsus$ ihlali mağdurları gibi veri gaspı grupları, ancak bir fidye yazılımı operatörü gibi gizli dosyaları şifrelemenin aksine, bu aktörler kurbanların özel verilerini çalıp elinde tutuyor ve gasp taleplerinin karşılanmaması durumunda yayınlıyor.
Lapsus$’ın Okta’nın sistemlerini ihlal ettiği iddiaları doğru çıkarsa, Okta’nın müşterilerinin kaçının ve ne ölçüde etkilendiği henüz bilinmiyor.
Güncelleme 22 Mart, 05:24 ET: Okta CEO’su McKinnon’dan yeni açıklama eklendi.