Erişim Yönetim Sistemlerinin büyük bir sağlayıcısı OKTA,% 2,5 veya yaklaşık 375 müşteri, LAPSUS $ veri gazı grubu tarafından talep edilen bir cyberattack tarafından etkilendiğini söylüyor.
Şirket bugünün sonucunu açıkladı, müşterilerinin alması gereken düzeltici bir eylem olmadığını söylüyor.
Okta bugün onayladı, bilgisayar korsanlarının, müşteriler için şifre sıfırlamasını başlatabilecek destek mühendislerinden birinin bir dizüstü bilgisayarını tehlikeye attığında Ocak ayında bir güvenlik olayını yaşadılar.
İhracaya bir soruşturma, tehdit aktörlerinin, OKDA'nın Müşteri Destek Paneline ve Şirket'in Slack Server'a erişebildikleri beş gün boyunca dizüstü bilgisayara erişebildiğini gösterdi.
"Rapor, bir saldırganın bir destek mühendisinin dizüstü bilgisayarına erişimi olduğu 16 Ocak - 16-21, 2022 yılları arasında beş günlük bir zamanın penceresi olduğunu vurguladı. Bu, dünün farkında olduğumuz ekran görüntüleri ile tutarlıdır, "dedi OKTA, olayla ilgili güncellenmiş bir açıklamada.
LAPSUS $ GROUP tarafından yayınlanan ekran görüntüleri, kullanıcıları listelemelerini, şifreleri sıfırlamalarına, MFA'yı sıfırlamalarına, MFA'yı ve Erişim Destek biletlerine izin veren 'Superuser' ayrıcalıklarına sahip olduğu bir Okta Çalışanının bir e-posta adresini göstermektedir.
Bununla birlikte, Şirket, eğer başarılı olursa, böyle bir uzlaşmanın, destek mühendislerinin kullanıcıları oluşturmayı veya silme veya müşteri veritabanlarını indirmesini önleyen erişim miktarıyla sınırlı olacağını açıklar.
"Destek mühendislerinin sınırlı verilere erişimi var - örneğin JIRA biletleri ve kullanıcıların listeleri - ekran görüntülerinde görülen. Destek mühendisleri ayrıca şifrelerin ve çok faktörlü kimlik doğrulamasının [MFA] kullanıcılar için sıfırlanmasını kolaylaştırabilir, ancak bu şifreleri alamıyor "- Okta
Salı akşamı daha sonraki bir güncellemede, OKTA, müşterilerinin yaklaşık% 2,5'inin Lapsus $ cyberattack'tan etkilendiğini belirtmektedir.
OKTA'nın 15.000'den fazla müşteriye sahip olduğu gibi, bu, yaklaşık 375 kuruluşun bir şekilde tehlikeye giren hesapları olabileceği anlamına gelir.
OKTA'nın Salı Akşam Güncellemesi, "Bu müşterileri tanımladık ve onlarla doğrudan iletişim kurduk. Eğer bir OKTA müşterisiyseniz ve etkilendiyseniz, OKTA'nın Salı Akşam Güncellemesi" dedi.
LAPSUS $ 'dan ekran görüntülerinde, bir OKTA çalışanının hesabını ödün veren bilgisayar korsanları tarafından sıfırlanmak üzere olan CloudFlare çalışanın bir e-posta adresi de vardır.
Bugün bir raporda, Web Altyapısı ve Güvenlik Şirketi CloudFlare, LAPSUS $ ekran görüntülerinde bulunan Şirket e-posta hesabının, güvenlik olayının yanıt ekibinin (SIRT), sabahın erken saatlerinde, olası bir sorunun ilk bildirimini aldıktan sonra yaklaşık 90 dakika askıya alındığını ortaya koydu. 22 Mart (03:30 UTC).
"Sosyal medyada paylaşılan bir ekran görüntüsünde, CloudFlare Çalışanının e-posta adresi, bilgisayar korsanının bir okta çalışanı olarak poz verdiğini ve bir şifre sıfırlama başlattığını gösteren bir açılır pencere ile birlikte görünürdü" - Cloudflare
CloudFlare, OKTA servislerinin, kimlik doğrulama istifine entegre olan çalışan kimliği için dahili olarak kullanıldığını ve müşterilerinin endişelenecek hiçbir şeyi olmadığını, "kendileri okta kullanmadıkları sürece".
Çalışan hesaplarına yetkisiz erişim şansını ortadan kaldırmak için CloudFlare, 1 Aralık 2021'den bu yana tüm şifrenin sıfırlandığını veya değiştirilmiş MFA'yı kontrol etti. Toplamda 144 hesabı faturaya uygun ve şirketin hepsinde bir şifre sıfırlamasını zorladı.
Okta, üçüncü taraf bir sağlayıcı için çalışan bir müşteri destek mühendisinin hesabını ödün vermek için başarısız bir girişimde bulunulduktan sonra ihlal girişimini öğrendi. "
Şirket, konunun sağlayıcısını aynı zamanda tehlikeye giren kullanıcının aktif oturumlarını sonlandırarak ve hesaplarını askıya almasını bildirmiştir.
Okta'nın bugünkü ifadelerine cevaben, LAPSUS $ GROUP, hikayenin bir bölümünü bir OKTA çalışanın dizüstü bilgisayarından ödün vermeyeceklerini ancak ince müşterileri (görevleri yerine getirmek için uzaktan bir sanal ortama bağlanan düşük performanslı sistem) söyleyerek hikayenin bir bölümünü paylaştı.
Hacker'lar, Okta'nın, "Superuser Portal'a, müşterilerin% 95'ini sıfırlama yeteneği ile Superuser Portal'a giriş yaptıklarını iddia ederek ödün verdiklerini iddia ederek başarısız olduğunu iddia ediyor."
Lapsus $, çoğunlukla Samsung, Nvidia ve Mercado Libre gibi büyük şirketlerden çalınan tescilli verileri sızdırmak için bilinir. Grup ayrıca Microsoft'un Dahili Azure Devoss sunucusunu ihlal ettiğini ve Bing, Cortana ve diğer Microsoft projeleri için iddia edilen 37 GB kaynak kodunu sızdırdığını iddia etmiştir.
Grup taleplerinin bir başka ihlali, LG elektroniğinde, bir yılda ikinci kez, şirketin sistemlerini hacklediler.
Okta, müşteri verilerinin iddialarını inceleyen LAPSUS $ GROUP'tan İhracat
NVIDIA Veri 71.000'den fazla çalışanın açıkça kimlik bilgilerini ihlal etti
NHS ORGS'leri OKTA istemcisi RCE hatası için güvenlik güncelleştirmesini uygulayacak
Microsoft, Lapsus $ gasp grubu tarafından hacklendiklerini onaylar.
Lapsus $ bilgisayar korsanları 37GB Microsoft'un iddia edilen kaynak kodunu sızdırmaz
Kaynak: Bleeping Computer