Kimlik ve Erişim Yönetimi Firması Okta, Ocak Lapsus $ ihlaliyle ilgili bir soruşturmanın, olayın etkisinin beklenenden önemli ölçüde daha küçük olduğunu belirtti.
Nihai Adli Raporuna dayanarak, Okta'nın Baş Güvenlik Görevlisi David Bradbury, saldırganın yalnızca bir mühendis tarafından kullanılan bir mühendis tarafından kullanılan tek bir iş istasyonunun kontrolünü sağladıktan sonra, üçüncü taraf müşteri destek hizmetleri sağlayıcısı tarafından kullanılan tek bir iş istasyonunun kontrolünü kazandıktan sonra iki aktif müşteri kiracısına ulaştığını söyledi. olay.
Beklenmedik bir şekilde sınırlı bir etki, yalnızca art arda 25 dakikanın dar penceresinden kaynaklanmaktadır. Tehdit oyuncusu 21 Ocak 2022'de tehlikeye giren iş istasyonu üzerinde kontrol sahibi oldu.
"Bu sınırlı zaman penceresinde, tehdit aktörünün, Superuser uygulamasında (ayrı ayrı bilgilendirilmiş olan) iki aktif müşteri kiracısına erişti ve OKTA'da işlem yapmak için kullanılamayan Slack ve Jira gibi diğer bazı uygulamalarda sınırlı ek bilgileri gördü. Müşteri kiracıları, "Bradbury Salı günü açıkladı.
"Tehdit oyuncusu herhangi bir yapılandırma değişikliği, MFA veya şifre sıfırlama veya müşteri desteği 'kimliğe bürünme' olaylarını başarılı bir şekilde gerçekleştiremedi."
Okta'nın CSO, şirketin hizmet sağlayıcılarının, sıfır güven güvenliği mimarisini benimsemek ve tüm işyeri uygulamaları için OKTA'nın IDAM çözümünü kimlik doğrulaması dahil olmak üzere yeni güvenlik gereksinimlerine uymasını sağlayacağını ekledi.
Okta, Sitel ile olan ilişkisini de sonlandırdı ve şimdi doğrudan tüm üçüncü taraf cihazları Müşteri Destek Araçlarına erişimiyle yönetiyor.
Okta geçen ay itiraf etti. Bir Ocak'taki bir ihlalin yayınlanmasını geciktirmeyi, LAPSSUS $ veri gasp grubundan, Şirket'in olayın ve müşteriler üzerindeki etkisinin farkında olmadığı bir hata olan bir hata.
BleepingComputer tarafından bildirildiği gibi, OKTA, Okta'nın müşteri ağlarını ihlal ettiklerini ima eden bir telgraf kanalındaki Lapsus $ paylaşılan ekran görüntüsünden sonra bir hack iddialarını araştırmaya başladı.
Başlangıçta, Okta, bir LAPSUS $ hacker, 16 Ocak - 21 Ocak tarihleri arasında "beş günlük bir pencere" üzerine bir Sitel destek mühendisinin dizüstü bilgisayarına uzak masaüstü (RDP) erişimini aldığını söyledi.
Sitel daha sonra, olaya katkıda bulunan ve saldırganların mühendis sistemine erişmelerini sağlayan yeni edinilmiş sykes'teki "eski" altyapısının ihlalini suçladı.
Açıklandıktan sonraki gün, Okta'nın CEO'su Todd McKinnon, brach'ı tek bir destek mühendisinin hesabını ödün vermek için bir "girişim" olarak etiketledi. Ancak, OKTA daha sonra, müşterilerinden 366'nın olaydan etkilendiğini söyledi.
"Uzlaşmanın genel etkisi, başlangıçta kapsadığımızdan çok daha küçük olduğu tespit edilmiş olsa da, bu tür bir uzlaşma, müşterilerimizde sahip olabilecek geniş bir uzlaşma ve OKTA'ya olan güvenlerini tanıdığımızda," BRADBURY bugün sonuçlandı.
"OKTA'nın ne kadar kritik OKTA'nın o kadar çok organizasyon ve kendilerine güvenen bireylerin ne olduğunu ve onlar için her zamankinden daha belirgin olduğunu biliyoruz."
Okta, 6 milyar doların üzerinde olan ve dünya çapında kimlik yönetimi ve kimlik doğrulama hizmetleri için dünya çapındaki 15.000'den fazla kuruluşa sağlayan 5.000'den fazla insanı kullanan halka açık bir şirkettir.
Okta, Ocak ayında Hack tarafından etkilenen% 2,5 müşteriyi onaylar.
GitHub, OAuth Jetens kullanarak çalınan özel repo sahiplerine bildirir.
Okta İhleti'nde Sitel: "Elektronik Tablo" Şifreler içermiyordu
Okta: "Biz bir hata yaptık" Lapsus $ hack ifşası geciktirmek
Okta, müşteri verilerinin iddialarını inceleyen LAPSUS $ GROUP'tan İhracat
Kaynak: Bleeping Computer