La société de gestion des identités et des accès Okta a déclaré qu’une enquête sur la violation de Lapsus $ de janvier avait conclu que l’impact de l’incident était nettement inférieur aux attentes.
Sur la base du rapport médico-légal final, le responsable de la sécurité d’Okta, David Bradbury, a déclaré que l’attaquant n’avait accédé aux deux locataires actifs du client qu’après avoir pris le contrôle d’un seul poste de travail utilisé par un ingénieur travaillant pour Sitel, le fournisseur de services d’assistance client tiers au centre de L’incident.
Cet impact étonnamment limité découle de la courte période de temps de seulement 25 minutes consécutives pendant laquelle l’auteur de la menace avait le contrôle du poste de travail compromis le 21 janvier 2022.
« Pendant cette fenêtre de temps limitée, l’acteur de la menace a accédé à deux locataires clients actifs dans l’application SuperUser (que nous avons notifiés séparément) et a consulté des informations supplémentaires limitées dans certaines autres applications comme Slack et Jira qui ne peuvent pas être utilisées pour effectuer des actions dans Okta. clients locataires », Bradbury expliqué mardi.
« L’acteur de la menace n’a pas pu effectuer avec succès les modifications de configuration, les réinitialisations de MFA ou de mot de passe, ou les événements d' »emprunt d’identité » du support client. »
Le CSO d’Okta a ajouté que l’entreprise veillerait à ce que ses fournisseurs de services respectent les nouvelles exigences de sécurité, notamment en adoptant l’architecture de sécurité Zero Trust et en s’authentifiant via la solution IDAM d’Okta pour toutes les applications sur le lieu de travail.
Okta a également mis fin à sa relation avec Sitel et gère désormais directement tous les appareils tiers avec accès à ses outils de support client.
Violation via l’infrastructure « héritée »
Okta a admis le mois dernier avoir commis une erreur en retardant la divulgation d’une violation de janvier par le groupe d’extorsion de données Lapsus$, une erreur causée par le fait que l’entreprise n’était pas consciente de l’étendue de l’incident et de son impact sur les clients.
Tel que rapporté par EZpublish-france.fr, Okta a commencé à enquêter sur les allégations de piratage après que Lapsus$ ait partagé des captures d’écran sur une chaîne Telegram, ce qui implique qu’ils avaient violé les réseaux clients d’Okta.
Initialement, Okta a déclaré qu’un pirate Lapsus$ avait obtenu un accès Bureau à distance (RDP) à l’ordinateur portable d’un ingénieur de support Sitel sur « une fenêtre de cinq jours » entre le 16 janvier et le 21 janvier.
Sitel a ensuite imputé la brèche à l’infrastructure « héritée » de Sykes nouvellement acquise, qui a contribué à l’incident et a permis aux attaquants d’accéder au système de l’ingénieur.
Le lendemain de sa divulgation, le PDG d’Okta, Todd McKinnon, a qualifié le brach de « tenter » pour compromettre le compte d’un seul ingénieur de support. Cependant, Okta a déclaré plus tard que 366 de ses clients avaient été touchés par l’incident.
« Bien que l’impact global du compromis ait été déterminé comme étant nettement inférieur à ce que nous avions initialement prévu, nous reconnaissons le lourd tribut que ce type de compromis peut avoir sur nos clients et leur confiance en Okta », a conclu Bradbury aujourd’hui.
« Nous reconnaissons à quel point Okta est essentiel pour tant d’organisations et les personnes qui comptent sur elles, et nous sommes plus déterminés que jamais à les satisfaire. »
Okta est une société cotée en bourse d’une valeur de plus de 6 milliards de dollars et employant plus de 5 000 personnes dans le monde qui fournit des services de gestion d’identité et d’authentification à plus de 15 000 organisations dans le monde.