Microsoft ve kimlik doğrulama hizmetleri sağlayıcısı Okta, LAPSUS$ gaspçı çetesi tarafından iddia edilen olası bir ihlal iddialarını araştırdıklarını söyledi.
tarafından ilk kez bildirilen gelişme, yardımcısı ve Reuterssiber suç grubunun Telegram kanalında şirketlerin iç projeleri ve sistemleri olduğunu söylediği şeylerin ekran görüntülerini ve kaynak kodunu yayınlamasının ardından geldi.
Sızdırılan 37GB arşiv, grubun Microsoft’un Bing, Bing Maps ve Cortana ile ilgili depolarına şu şekilde erişmiş olabileceğini gösteriyor. Görüntüler Okta’nın Atlassian süitini ve şirket içi Slack kanallarını öne çıkarıyor.
Hacking karteli Telegram’da “En büyük şirketlerin çoğuna (ve FEDRAMP tarafından onaylanan) kimlik doğrulama sistemlerine güç sağlayan bir hizmet için bu güvenlik önlemlerinin oldukça zayıf olduğunu düşünüyorum” dedi.
Bunun üzerine grup, bir yıl içinde “ikinci kez” LG Electronics’i (LGE) ihlal ettiğini iddia etti.
Bağımsız bir güvenlik araştırmacısı olan Bill Demirkapı, not alınmış “LAPSUS$, Cloudflare kiracısına çalışan parolalarını sıfırlama yeteneğiyle erişmiş görünüyor” ve şirket “en az iki ay boyunca herhangi bir ihlali herkese açık olarak kabul etmediğini” ekledi.
LAPSUS$ o zamandan beri Okta’nın veritabanlarını ihlal etmediğini ve “Odak noktamızın YALNIZCA Okta müşterileri üzerinde olduğunu” açıkladı. Bu, iç sistemlere kullanıcı erişimini doğrulamak için Okta’ya güvenen diğer devlet kurumları ve şirketler için ciddi sonuçlar doğurabilir.
Okta CEO’su Todd McKinnon, “Ocak 2022’nin sonlarında, Okta, alt işlemcilerimizden biri için çalışan üçüncü taraf bir müşteri destek mühendisinin hesabını ele geçirme girişimi tespit etti. Konu, alt işlemci tarafından araştırıldı ve kontrol altına alındı.” dedim bir tweet’te.
McKinnon, “Çevrimiçi olarak paylaşılan ekran görüntülerinin bu Ocak etkinliğiyle bağlantılı olduğuna inanıyoruz. Bugüne kadarki araştırmamıza göre, Ocak ayında tespit edilen etkinliğin ötesinde devam eden kötü amaçlı etkinlik olduğuna dair bir kanıt yok,” diye ekledi McKinnon.
Cloudflare, yanıt olarak, dedim Son dört ayda şifrelerini değiştiren çalışanların Okta kimlik bilgilerini dikkatli bir şekilde sıfırlıyor.
Bir kurbandan veri çalmak ve ardından bir ödeme karşılığında bu bilgileri şifrelemek şeklindeki ikili gasp senaryosunu takip eden geleneksel fidye yazılımı gruplarının aksine, tehdit ortamına yeni giren kişi daha fazla odaklanır veri hırsızlığı ve bunu hedeflere şantaj yapmak için kullanma konusunda.
Aralık 2021’in sonlarında aktif hale gelmesinden bu yana, siber suç çetesi, Impresa, NVIDIA, Samsung, Mercado Libre, Vodafone ve en son Ubisoft dahil olmak üzere uzun bir yüksek profilli kurban listesi topladı.
Cymulate’in güvenlik mimarı Mike DeNapoli yaptığı açıklamada, “Bir hizmet sağlayıcıya veya yazılım geliştiricisine yönelik herhangi bir başarılı saldırı, bu ilk saldırının kapsamının ötesinde daha fazla etkiye sahip olabilir.” Dedi. “Hizmetlerin ve platformların kullanıcıları, savunulması gereken olası tedarik zinciri saldırıları olduğu konusunda uyarılmalıdır.”