Компания Okta, называющая себя "Платформа идентификации №1 в мире", говорит, что банда малолеток-хакеров Lapsus$ находилась внутри ноутбука жертвы всего несколько десятков минут.
Директор по безопасности Okta Дэвид Брэдбери сказал, что злоумышленник "получил доступ к двум активным клиентам компании только после получения контроля над одной рабочей станцией", используемой инженером, работающим на Sitel, стороннего поставщика услуг поддержки клиентов.
В компании утверждают, что "неожиданно ограниченное влияние" связано с узким промежутком времени всего "в 25 минут подряд", когда злоумышленник контролировал скомпрометированную рабочую станцию 21 января 2022 года.
«В течение этого ограниченного периода времени злоумышленник получил доступ к двум активным клиентам-арендаторам в приложении SuperUser (о которых мы отдельно уведомили) и просмотрел ограниченную дополнительную информацию в некоторых других приложениях, таких как Slack и Jira, которые не могут быть использованы для выполнения действий в клиентах Okta», — пояснил Брэдбери.
«Злоумышленник не смог успешно выполнить какие-либо изменения конфигурации, сброс MFA или пароля, а также события «олицетворения» службы поддержки клиентов».
CSO Okta добавил, что компания будет следить за тем, чтобы ее поставщики услуг соответствовали новым требованиям безопасности, включая внедрение архитектуры безопасности Zero Trust и аутентификацию через решение IDAM от Okta для всех рабочих приложений.
Так же компания Okta также прекратил свои отношения с Sitel и теперь напрямую управляет всеми сторонними устройствами с доступом к своим инструментам поддержки клиентов.
Взломано через «устаревшую» инфраструктуру
В прошлом месяце Okta признала, что допустила ошибку, задержав раскрытие январского нарушения со стороны группы хакеров-вымогателей Lapsus$, ошибку, вызванную тем, что компания не знала о масштабах инцидента и его влиянии на клиентов.
Компания Okta поступила опрометчиво, когда начала расследование заявлений о взломе только после того, как Lapsus$ поделился скриншотами в Telegram-канале, громко заявив, что они взломали сети клиентов Okta.
Первоначально Okta заявила, что хакер Lapsus$ получил доступ к удаленному рабочему столу (RDP) к ноутбуку инженера службы поддержки Sitel в течение «пятидневного окна» в период с 16 по 21 января.
Позже компания Sitel обвинила в нарушении «унаследованную» инфраструктуру недавно приобретенной Sykes, которая способствовала инциденту и позволила злоумышленникам получить доступ к системе инженера.
На следующий день после того, как это было раскрыто, генеральный директор Okta Тодд Маккиннон назвал взлом «попыткой» скомпрометировать учетную запись одного инженера поддержки. Однако позже Okta заявила, что инцидент затронул 366 ее клиентов.
«Хотя общее влияние компромисса было определено как значительно меньшее, чем мы первоначально предполагали, мы признаем широкие потери, которые этот компромисс может нанести нашим клиентам и их доверию к Okta», — заключил Брэдбери.
«Мы признаем, насколько важна Okta для многих организаций и людей, которые полагаются на них, и более решительно, чем когда-либо, чтобы обеспечить их».
Okta является публичной компанией стоимостью более 6 миллиардов долларов и насчитывает более 5000 человек по всему миру, которая предоставляет услуги по управлению идентификацией и аутентификации более чем 15 000 организациям по всему миру.