Büyük bir erişim yönetim sistemleri sağlayıcısı olan Okta, Lapsus$ veri hırsızlığı grubu tarafından iddia edilen bir siber saldırıdan %2,5 veya yaklaşık 375 müşterinin etkilendiğini söylüyor.
Şirket, müşterilerinin alması gereken herhangi bir düzeltici önlemin bulunmadığını söyleyerek bugün kararını açıkladı.
Beş günlük fırsat penceresi
Okta bugün, Ocak ayında bilgisayar korsanlarının destek mühendislerinden birinin dizüstü bilgisayarını tehlikeye atarak müşteriler için parola sıfırlama başlatabilecek bir güvenlik olayı yaşadıklarını doğruladı.
İhlalle ilgili bir soruşturma, tehdit aktörlerinin beş gün boyunca dizüstü bilgisayara erişimleri olduğunu ve bu süre boyunca Okta’nın müşteri destek paneline ve şirketin Slack sunucusuna erişebildiklerini gösterdi.
“Rapor, 16-21 Ocak 2022 tarihleri arasında bir saldırganın bir destek mühendisinin dizüstü bilgisayarına erişebildiği beş günlük bir zaman aralığı olduğunu vurguladı. Bu, bildiğimiz ekran görüntüleri ile tutarlıdır. dün”diyor Okta güncellenmiş beyan olay üzerine.
Lapsus$ grubu tarafından yayınlanan ekran görüntüleri, kullanıcıları listeleme, şifreleri sıfırlama, MFA’yı sıfırlama ve destek biletlerine erişmelerine izin veren ‘süper kullanıcı’ ayrıcalıklarına sahip görünen bir Okta çalışanının e-posta adresini gösteriyor.
Ancak şirket, başarılı olursa, böyle bir uzlaşmanın destek mühendislerinin sahip olduğu erişim miktarıyla sınırlı olacağını ve bu da kullanıcı oluşturmayı veya silmeyi veya müşteri veritabanlarını indirmeyi önleyeceğini açıklıyor.
“Destek mühendisleri, ekran görüntülerinde görülen Jira biletleri ve kullanıcı listeleri gibi sınırlı verilere erişebiliyor. Destek mühendisleri ayrıca parolaların sıfırlanmasını ve çok faktörlü kimlik doğrulamasını kolaylaştırabilir [MFA] kullanıcılar için faktörler, ancak bu şifreleri alamıyor” – Okta
Salı akşamı daha sonraki bir güncellemede Okta, müşterilerinin yaklaşık %2,5’inin Lapsus$ siber saldırısından etkilendiğini belirtiyor.
Okta’nın sahip olduğu gibi 15.000’den fazla müşteribu, yaklaşık 375 kuruluşun bir şekilde güvenliği ihlal edilmiş hesapları olabileceği anlamına gelir.
Okta’nın Salı akşamı güncellemesi, “Bu müşterileri belirledik ve onlarla doğrudan iletişime geçiyoruz. Bir Okta müşterisiyseniz ve etkilendiyseniz, doğrudan e-posta yoluyla zaten ulaştık” diye açıklıyor.
Cloudflare, Okta’nın ihlaline tepki gösteriyor
Lapsus$ ekran görüntülerinde ayrıca, bir Okta çalışanının hesabını ele geçiren bilgisayar korsanları tarafından şifresi sıfırlanmak üzere olan bir Cloudflare çalışanının e-posta adresi de var.
Bugünkü bir raporda, web altyapısı ve güvenlik şirketi Cloudflare, Lapsus$ ekran görüntülerinde bulunan şirket e-posta hesabının, Güvenlik Olayı Müdahale Ekibi’nin (SIRT) sabahın erken saatlerinde potansiyel bir sorunla ilgili ilk bildirimi almasından yaklaşık 90 dakika sonra askıya alındığını açıkladı. 22 Mart (03:30 UTC).
“Sosyal medyada paylaşılan bir ekran görüntüsünde, bir Cloudflare çalışanının e-posta adresi ve bilgisayar korsanının Okta çalışanı gibi davrandığını ve bir parola sıfırlama başlatmış olabileceğini gösteren bir açılır pencereyle birlikte görülüyordu” – Cloudflare
bulut parlaması notlar Okta hizmetlerinin, kimlik doğrulama yığınına entegre edilmiş çalışan kimliği için dahili olarak kullanıldığını ve müşterilerinin “kendileri Okta kullanmadıkça” endişelenecek bir şeyleri olmadığını söyledi.
Cloudflare, çalışan hesaplarına yetkisiz erişim olasılığını ortadan kaldırmak için 1 Aralık 2021’den bu yana tüm parola sıfırlamalarını veya değiştirilmiş MFA’yı kontrol etti. Toplamda 144 hesap faturaya uyuyor ve şirket bunların hepsinde parola sıfırlamayı zorunlu kıldı.
Okta, “üçüncü taraf bir sağlayıcı için çalışan bir müşteri destek mühendisinin hesabını tehlikeye atmak için başarısız bir girişim” tespit ettikten sonra ihlal girişimini öğrendi.
Şirket, sorunu aynı anda sağlayıcıya bildirdi ve güvenliği ihlal edilen kullanıcının aktif oturumlarını sonlandırdı ve hesabını askıya aldı.
Lapsus$ yanıt veriyor
Okta’nın bugünkü açıklamalarına yanıt olarak, Lapsus$ grubu, bir Okta çalışanının dizüstü bilgisayarından değil, ince istemcilerinden (görevleri gerçekleştirmek için sanal bir ortama uzaktan bağlanan düşük performanslı sistem) ödün verdiklerini söyleyerek hikayenin kendilerine düşen kısmını paylaştı.
Bilgisayar korsanları, Okta’nın “müşterilerin ~%95’inin Parolasını ve MFA’sını sıfırlama yeteneği ile süper kullanıcı portalında oturum açtıklarını” iddia ederek uzlaşmanın başarısız olduğuna dair onayına karşı çıkıyorlar.
Lapsus$, çoğunlukla aşağıdaki gibi büyük şirketlerden çalınan özel verileri sızdırmasıyla bilinir. Samsung, NVIDIAve Serbest pazar. Grup ayrıca Microsoft’un dahili Azure DevOps sunucusunu ihlal ettiğini ve sızdırdığını iddia ediyor. 37 GB kaynak kodu iddiaya göre Bing, Cortana ve diğer Microsoft projeleri için.
Grubun iddia ettiği bir diğer ihlal, LG Electronics’te, şirketin sistemlerini bir yıl içinde ikinci kez hacklediklerini söyleyerek övünüyor.