Après la divulgation d'un piratage affectant sa plate-forme d'authentification, Okta a soutenu que les effets de la violation étaient principalement contenus par les protocoles de sécurité et a réitéré que les utilisateurs du service n'avaient pas besoin de prendre des mesures correctives en tant que résultat.
Les déclarations ont été faites par David Bradbury, responsable de la sécurité chez Okta, lors d'un appel vidéo avec les clients et la presse mercredi matin.
Lundi, le groupe de piratage Lapsus$ a publié des images démontrant que le groupe avait compromis les systèmes internes d'Okta, mettant en état d'alerte des milliers d'entreprises qui s'appuient sur l'outil d'authentification.
“Le partage de ces captures d'écran est une gêne pour moi et pour toute l'équipe d'Okta”, a déclaré Bradbury au début de l'appel. “Aujourd'hui, je veux donner mon point de vue sur ce qui s'est passé et où nous en sommes avec cette enquête.”
Au cours d'un briefing de dix minutes, Bradbury a déclaré que les pirates avaient compromis les systèmes d'Okta en accédant à distance à une machine appartenant à un employé de Sitel, une société sous-traitée pour fournir des fonctions de service client à Okta. À l'aide d'un protocole de bureau à distance, les pirates ont pu saisir des commandes dans la machine compromise et afficher la sortie du moniteur, ce qui leur a permis de prendre des captures d'écran, a déclaré Bradbury.
“Le partage de ces captures d'écran est une gêne pour moi et pour l'ensemble L'équipe Okta”
Aucun des systèmes d'Okta n'a été directement piraté, a déclaré le CSO, mais la machine de l'ingénieur de support de Sitel a été connectée à Okta lorsqu'elle a été compromise et l'est restée à partir de la date de compromission du 16 janvier jusqu'au L'équipe de sécurité d'Okta en a pris connaissance et a suspendu le compte le 21 janvier.
Cependant, en raison de l'utilisation de protocoles d'accès au moindre privilège – dans lesquels un utilisateur du réseau n'est autorisé à effectuer que l'ensemble minimal d'actions nécessaires à son travail – les pirates étaient limités dans ce à quoi ils pouvaient accéder via le compte d'un ingénieur de support, ce qui a conduit Okta à indiquer qu'aucune action corrective n'était nécessaire de la part des utilisateurs du service.
Les détails de la violation ont été compilés par une société d'enquête médico-légale qui avait été engagée peu de temps après la découverte de l'accès non autorisé, mais le rapport complet n'avait été fourni à Okta que récemment, selon Bradbury.
“Je suis très déçu par la longue période qui s'est écoulée entre notre notification initiale à Sitel en janvier et la publication du rapport d'enquête complet il y a quelques heures à peine”, a déclaré Bradbury.
Alors que les impacts de la violation semblent être moins graves qu'on ne le craignait initialement, le groupe de hackers Lapsus$ apparaît comme une menace prolifique et persistante, ayant monté des hacks confirmés contre un certain nombre de grandes entreprises technologiques et revendiqué la responsabilité d'autres incidents qui n'ont pas encore été commis. été concrètement attribuée au groupe.
Mardi – le jour même où le piratage d'Okta a été confirmé – Lapsus$ a également publié le code source volé des produits Bing et Cortana de Microsoft, obtenu grâce à la compromission de un compte employé.
Le fabricant de cartes graphiques Nvidia a également été piraté par le groupe fin février et les informations d'identification de ses employés ont été divulguées en ligne. Dans un laps de temps similaire, Lapsus$ a revendiqué la responsabilité d'une violation du géant sud-coréen de la technologie Samsung dans laquelle le code source des appareils Galaxy a été obtenu, et a également laissé entendre que le groupe était responsable d'un “incident de cybersécurité” affectant le développeur de jeux Ubisoft. /p>
Les professionnels de la sécurité considèrent le groupe comme un acteur de menace sophistiqué et polyvalent et conseillent aux cibles potentielles de se prémunir de manière proactive contre les méthodes de compromission.
“Ce L'approche “tout compris” du groupe pour cibler ses victimes avec des rançons, des échanges de cartes SIM, des exploits, une reconnaissance du dark web et des tactiques de phishing fiables montre la concentration et la boîte à outils ouverte utilisée pour atteindre ses objectifs », a déclaré Mark Ostrowski, responsable de l'ingénierie chez Check Point Software. . “Les entreprises et les organisations du monde entier devraient se concentrer sur l'éducation de ces tactiques à leurs utilisateurs, déployer des stratégies de prévention dans tous les aspects de leurs programmes de cybersécurité et inventorier tous les points d'accès à la recherche de faiblesses potentielles.”