Okta siger, at sikkerhedsprotokoller begrænsede hack, men svaret kom for langsomt

0
162

Efter afsløringen af ​​et hack, der påvirker dets autentificeringsplatform, har Okta fastholdt, at virkningerne af bruddet for det meste var indeholdt i sikkerhedsprotokoller og gentog, at brugere af tjenesten ikke behøver at træffe korrigerende handlinger som en resultat.

Udtalelserne blev fremsat af David Bradbury, sikkerhedschef hos Okta, i et videoopkald med kunder og presse onsdag morgen.

I mandags udgav hackergruppen Lapsus$ billeder, der demonstrerede, at gruppen havde kompromitteret Oktas interne systemer, hvilket satte tusindvis af virksomheder, der er afhængige af godkendelsesværktøjet, i høj alarmberedskab.

“Delingen af ​​disse skærmbilleder er en forlegenhed for mig selv og hele Okta-teamet,” sagde Bradbury i starten af ​​opkaldet. “I dag vil jeg give mit perspektiv på, hvad der er sket, og hvor vi er med denne undersøgelse.”

I løbet af en ti minutters briefing sagde Bradbury, at hackerne havde kompromitteret Oktas systemer ved at få fjernadgang til en maskine, der tilhører en ansat hos Sitel – en virksomhed, der er underleverandør til at levere kundeservicefunktioner til Okta. Ved at bruge en fjernskrivebordsprotokol var hackerne i stand til at indtaste kommandoer i den kompromitterede maskine og se skærmoutputtet, hvilket gjorde dem i stand til at tage skærmbilleder, sagde Bradbury.

“Delingen af ​​disse skærmbilleder er en forlegenhed for mig selv og hele Okta-teamet”

Ingen af ​​Oktas systemer blev direkte brudt, sagde CSO, men Sitel-supportingeniørens maskine var logget på Okta, da den blev kompromitteret og forblev det fra datoen for kompromittering den 16. januar indtil Okta sikkerhedsteam blev opmærksomme og suspenderede kontoen den 21. januar.

Men på grund af brugen af ​​mindst privilegerede adgangsprotokoller – hvor en netværksbruger kun må udføre det minimumssæt af handlinger, der er nødvendige for deres job – var hackerne begrænset i, hvad de kunne få adgang til via en supportingeniørs konto, hvilket førte Okta til angive, at der ikke var behov for korrigerende handlinger fra brugere af tjenesten.

Detaljer om bruddet blev udarbejdet af et retsmedicinsk efterforskningsfirma, der var blevet engageret kort efter, at den uautoriserede adgang blev opdaget, men den fulde rapport var ikke blevet leveret til Okta før for nylig, ifølge Bradbury.

“Jeg er meget skuffet over den lange periode, der gik mellem vores første meddelelse til Sitel i januar, og udsendelsen af ​​den komplette undersøgelsesrapport for blot få timer siden,” sagde Bradbury.

Selvom virkningerne af bruddet ser ud til at være mindre alvorlige end først frygtet, dukker Lapsus$-hackergruppen op som en produktiv og vedvarende trussel efter at have foretaget bekræftede hacks mod en række store teknologivirksomheder og påtaget sig ansvaret for andre hændelser, der endnu ikke er sket. blevet konkret tilskrevet gruppen.

Tirsdag – samme dag som Okta-hacket blev bekræftet – postede Lapsus$ også kildekode stjålet fra Microsofts Bing- og Cortana-produkter, opnået gennem kompromittering af en medarbejderkonto.

Grafikkortproducenten Nvidia blev også hacket af koncernen i slutningen af ​​februar og fik medarbejders legitimationsoplysninger lækket online. I en lignende tidsramme påtog Lapsus$ ansvaret for et brud på den sydkoreanske teknologigigant Samsung, hvori kildekoden til Galaxy-enheder blev opnået, og antydede også, at gruppen var ansvarlig for en “cybersikkerhedshændelse”, der påvirker spiludvikleren Ubisoft.< /p>

Sikkerhedsprofessionelle ser gruppen som en sofistikeret og alsidig trusselsaktør og råder potentielle mål til proaktivt at beskytte sig mod kompromismetoder.

“Dette gruppens 'all in'-tilgang til at målrette sine ofre med løsesum, SIM-bytning, udnyttelse, mørk web-rekognoscering og pålidelige phishing-taktik viser fokus og åbne værktøjskasse, der bruges til at nå dets mål,” sagde Mark Ostrowski, chef for ingeniør hos Check Point Software. . “Virksomheder og organisationer over hele kloden bør fokusere på uddannelse af disse taktikker til deres brugere, implementere forebyggelsesstrategier i alle aspekter af deres cybersikkerhedsprogrammer og inventar alle adgangspunkter på udkig efter potentielle svagheder.”