Okta, un important fournisseur de systèmes de gestion des accès, affirme que 2,5 %, soit environ 375 clients, ont été touchés par une cyberattaque revendiquée par le groupe d’extorsion de données Lapsus$.
La société a annoncé sa conclusion aujourd’hui, affirmant qu’il n’y avait aucune mesure corrective que ses clients devraient prendre.
Fenêtre d’opportunité de cinq jours
Okta a confirmé aujourd’hui avoir subi un incident de sécurité en janvier lorsque des pirates ont compromis l’ordinateur portable de l’un de ses ingénieurs d’assistance, ce qui a pu déclencher des réinitialisations de mot de passe pour les clients.
Une enquête sur la violation a montré que les acteurs de la menace avaient accès à l’ordinateur portable pendant cinq jours, au cours desquels ils ont pu accéder au panneau de support client d’Okta et au serveur Slack de l’entreprise.
«Le rapport a souligné qu’il y avait une fenêtre de temps de cinq jours entre le 16 et le 21 janvier 2022, où un attaquant avait accès à l’ordinateur portable d’un ingénieur de support. Cela correspond aux captures d’écran dont nous avons pris connaissance hier », déclare Okta dans un déclaration mise à jour sur l’incident.
Les captures d’écran publiées par le groupe Lapsus$ montrent l’adresse e-mail d’un employé d’Okta qui semblait avoir des privilèges de « superutilisateur » lui permettant de répertorier les utilisateurs, de réinitialiser les mots de passe, de réinitialiser la MFA et d’accéder aux tickets d’assistance.
Cependant, la société explique qu’en cas de succès, un tel compromis serait limité à la quantité d’accès dont disposent les ingénieurs de support, ce qui empêche la création ou la suppression d’utilisateurs, ou le téléchargement de bases de données clients.
« Les ingénieurs de support ont accès à des données limitées – par exemple, les tickets Jira et les listes d’utilisateurs – qui ont été vues dans les captures d’écran. Les ingénieurs de support sont également en mesure de faciliter la réinitialisation des mots de passe et l’authentification multifacteur [MFA] facteurs pour les utilisateurs, mais sont incapables d’obtenir ces mots de passe » – Okta
Dans une mise à jour ultérieure mardi soir, Okta déclare maintenant qu’environ 2,5 % de ses clients ont été touchés par la cyberattaque Lapsus$.
Comme Okta l’a plus de 15 000 clientscela signifie qu’environ 375 organisations peuvent avoir eu des comptes compromis d’une manière ou d’une autre.
« Nous avons identifié ces clients et les contactons directement. Si vous êtes un client d’Okta et que vous avez été touché, nous vous avons déjà contacté directement par e-mail », explique la mise à jour d’Okta du mardi soir.
Cloudflare réagit à la violation d’Okta
Dans les captures d’écran de Lapsus$, il y a aussi une adresse e-mail d’un employé de Cloudflare dont le mot de passe était sur le point d’être réinitialisé par des pirates qui ont compromis le compte d’un employé d’Okta.
Dans un rapport publié aujourd’hui, la société d’infrastructure et de sécurité Web Cloudflare a révélé que le compte de messagerie de l’entreprise présent dans les captures d’écran de Lapsus$ a été suspendu environ 90 minutes après que son équipe de réponse aux incidents de sécurité (SIRT) a reçu la première notification d’un problème potentiel, tôt le matin. du 22 mars (03:30 UTC).
« Dans une capture d’écran partagée sur les réseaux sociaux, l’adresse e-mail d’un employé de Cloudflare était visible, ainsi qu’une fenêtre contextuelle indiquant que le pirate se faisait passer pour un employé d’Okta et aurait pu lancer une réinitialisation du mot de passe » – Cloudflare
Nuageux Remarques que les services Okta sont utilisés en interne pour l’identité des employés intégrés dans la pile d’authentification et que ses clients n’ont rien à craindre, « à moins qu’ils n’utilisent eux-mêmes Okta ».
Pour éliminer tout risque d’accès non autorisé aux comptes de ses employés, Cloudflare a vérifié toutes les réinitialisations de mots de passe ou modifiés MFA depuis le 1er décembre 2021. Au total, 144 comptes correspondent à la facture et l’entreprise a forcé une réinitialisation de mot de passe sur chacun d’eux.
Okta a appris la tentative de violation après avoir détecté « une tentative infructueuse de compromettre le compte d’un ingénieur du support client travaillant pour un fournisseur tiers ».
La société a informé le fournisseur du problème tout en mettant fin aux sessions actives de l’utilisateur compromis et en suspendant son compte.
Lapsus$ répond
En réponse aux déclarations d’Okta aujourd’hui, le groupe Lapsus$ a partagé sa part de l’histoire en disant qu’il n’avait pas compromis l’ordinateur portable d’un employé d’Okta mais son client léger (système peu performant qui se connecte à distance à un environnement virtuel pour effectuer des tâches).
Les pirates contestent l’affirmation d’Okta selon laquelle la compromission a échoué en affirmant qu’ils « se sont connectés au portail superutilisateur avec la possibilité de réinitialiser le mot de passe et le MFA d’environ 95 % des clients ».
Lapsus$ est surtout connu pour avoir divulgué des données propriétaires volées à de grandes entreprises comme Samsung, NVIDIA et Mercado Libre. Le groupe a également affirmé avoir violé le serveur Azure DevOps interne de Microsoft et divulgué 37 Go de code source prétendument pour Bing, Cortana et d’autres projets Microsoft.
Une autre violation que le groupe revendique concerne LG Electronics, se vantant que c’est la deuxième fois en un an qu’ils ont piraté les systèmes de l’entreprise.