Okta confirme que l’ordinateur portable de l’ingénieur de support a été piraté en janvier

Okta confirme que l'ordinateur portable de l'ingénieur de support a été piraté en janvier

Okta, un important fournisseur de systèmes de gestion des accès, a terminé son enquête sur un incident de violation revendiqué par le groupe d’extorsion de données Lapsus$.

La société a annoncé sa conclusion aujourd’hui, affirmant qu’il n’y avait aucune mesure corrective que ses clients devraient prendre.

Fenêtre d’opportunité de cinq jours

Okta a confirmé aujourd’hui avoir subi un incident de sécurité en janvier de cette année lorsque des pirates ont eu accès à l’ordinateur portable de l’un de ses ingénieurs de support, ce qui a pu déclencher la réinitialisation des mots de passe des clients.

Les résultats de l’enquête médico-légale ont montré que l’attaquant disposait d’une fenêtre d’opportunité de cinq jours, période pendant laquelle l’intrus avait accès à l’ordinateur portable d’un ingénieur de support Okta qui pouvait initier des réinitialisations de mots de passe pour les clients.

«Le rapport a souligné qu’il y avait une fenêtre de temps de cinq jours entre le 16 et le 21 janvier 2022, où un attaquant avait accès à l’ordinateur portable d’un ingénieur de support. Cela correspond aux captures d’écran dont nous avons pris connaissance hier », déclare Okta dans un déclaration mise à jour sur l’incident.

Les captures d’écran publiées par le groupe Lapsus$ montrent l’adresse e-mail d’un employé d’Okta qui semblait avoir des privilèges de « superutilisateur » permettant la réinitialisation des mots de passe.

Cependant, la société explique qu’en cas de succès, un tel compromis serait limité à la quantité d’accès dont disposent les ingénieurs de support, ce qui empêche la création ou la suppression d’utilisateurs, ou le téléchargement de bases de données clients.

« Les ingénieurs de support ont accès à des données limitées – par exemple, les tickets Jira et les listes d’utilisateurs – qui ont été vues dans les captures d’écran. Les ingénieurs de support sont également en mesure de faciliter la réinitialisation des mots de passe et l’authentification multifacteur [MFA] facteurs pour les utilisateurs, mais sont incapables d’obtenir ces mots de passe » – Okta

Cloudflare réagit

Dans les captures d’écran de Lapsus$, il y a aussi une adresse e-mail d’un employé de Cloudflare dont le mot de passe était sur le point d’être réinitialisé par des pirates qui ont compromis le compte d’un employé d’Okta.

Dans un rapport publié aujourd’hui, la société d’infrastructure et de sécurité Web Cloudflare a révélé que le compte de messagerie de l’entreprise présent dans les captures d’écran de Lapsus$ a été suspendu environ 90 minutes après que son équipe de réponse aux incidents de sécurité (SIRT) a reçu la première notification d’un problème potentiel, tôt le matin. du 22 mars (03:30 UTC).

« Dans une capture d’écran partagée sur les réseaux sociaux, l’adresse e-mail d’un employé de Cloudflare était visible, ainsi qu’une fenêtre contextuelle indiquant que le pirate se faisait passer pour un employé d’Okta et aurait pu lancer une réinitialisation du mot de passe » – Cloudflare

Nuageux Remarques que les services Okta sont utilisés en interne pour l’identité des employés intégrés dans la pile d’authentification et que ses clients n’ont rien à craindre, « à moins qu’ils n’utilisent eux-mêmes Okta ».

Pour éliminer tout risque d’accès non autorisé aux comptes de ses employés, Cloudflare a vérifié toutes les réinitialisations de mots de passe ou modifiés MFA depuis le 1er décembre 2021. Au total, 144 comptes correspondent à la facture et l’entreprise a forcé une réinitialisation de mot de passe sur chacun d’eux.

Okta a appris la tentative de violation après avoir détecté « une tentative infructueuse de compromettre le compte d’un ingénieur du support client travaillant pour un fournisseur tiers ».

La société a informé le fournisseur du problème tout en mettant fin aux sessions actives de l’utilisateur compromis et en suspendant son compte.

Lapsus$ répond

En réponse aux déclarations d’Okta aujourd’hui, le groupe Lapsus$ a partagé sa part de l’histoire en disant qu’il n’avait pas compromis l’ordinateur portable d’un employé d’Okta mais son client léger (système peu performant qui se connecte à distance à un environnement virtuel pour effectuer des tâches).

Les pirates contestent l’affirmation d’Okta selon laquelle la compromission a échoué en affirmant qu’ils « se sont connectés au portail superutilisateur avec la possibilité de réinitialiser le mot de passe et le MFA d’environ 95 % des clients ».

Lapsus$ est surtout connu pour avoir divulgué des données propriétaires volées à de grandes entreprises comme Samsung, NVIDIA et Mercado Libre. Le groupe a également affirmé avoir violé le serveur Azure DevOps interne de Microsoft et divulgué 37 Go de code source prétendument pour Bing, Cortana et d’autres projets Microsoft.

Une autre violation que le groupe revendique concerne LG Electronics, se vantant que c’est la deuxième fois en un an qu’ils ont piraté les systèmes de l’entreprise.