Kimlik doğrulama hizmetleri sağlayıcısı Okta, Çarşamba günü Sitel’i, şirketin Ocak ayı sonlarında yaşadığı ve LAPSUS$ gasp çetesinin bir müşteri destek mühendisine ait dahili bir hesabı uzaktan ele geçirmesine izin veren bir güvenlik olayıyla bağlantılı üçüncü taraf olarak adlandırdı.
Şirket, 366 kurumsal müşterinin veya müşteri tabanının yaklaşık %2,5’inin “son derece kısıtlı” uzlaşmadan etkilenmiş olabileceğini de sözlerine ekledi.
“20 Ocak 2022’de Okta Güvenlik ekibi, Sitel müşteri destek mühendisi Okta hesabına yeni bir faktörün eklendiği konusunda uyarıldı. [from a new location],” Okta’nın Baş Güvenlik Görevlisi David Bradbury, dedim Bir açıklamada. “Bu faktör bir parolaydı.”
Açıklama, LAPSUS$’ın bu hafta başlarında Okta’nın uygulamalarının ve sistemlerinin ekran görüntülerini yayınlamasından sonra, bilgisayar korsanlarının uzak masaüstü protokolünü kullanarak 16 ve 21 Ocak 2022 arasındaki beş günlük bir süre boyunca şirketin dahili ağına erişmesinden yaklaşık iki ay sonra geldi (RDP) MFA etkinliği tespit edilene ve hesap daha fazla araştırma için askıya alınana kadar.
Şirket başlangıçta olayı önemsiz göstermeye çalışsa da, LAPSUS$ grubu, San Francisco merkezli şirketi yalan olduğu iddiasıyla suçladı ve “Bunun nasıl bir olay olduğundan Hâlâ emin değilim. [sic] başarısız girişim? giriş yaptım [sic] İstemcilerin ~%95’inin Parolasını ve MFA’sını sıfırlama özelliğine sahip Süper Kullanıcı portalı başarılı değil mi?”
Adının aksine SuperUser, müşteri kiracılarıyla ilişkili temel yönetim işlevlerini yerine getirmek için kullanıldığını ve en az ayrıcalık ilkesiyle çalıştığını söyledi (PoLP) akılda tutarak, destek personeline yalnızca rolleriyle ilgili kaynaklara erişim izni verilmesi.
Müşterilere olayı bildirmekte gecikmesi nedeniyle eleştirilere maruz kalan Okta, 21 Ocak’ta Sitel ile uzlaşma göstergelerini paylaştığını ve daha sonra adı açıklanmayan bir adli tıp firmasının hizmetlerini yerine getirdiğini ve bunun sonucunda da davayı yürütmeye devam ettiğini kaydetti. araştırma ve bulgularını 10 Mart 2022’de paylaşın.
Şirketin paylaştığı olayların zaman çizelgesine göre, geçtiğimiz hafta 17 Mart 2022’de “Okta, Sitel’den olayla ilgili özet rapor aldı”.
Bradbury, “Sitel’e yaptığımız bildirimle tam soruşturma raporunun yayınlanması arasında geçen uzun süre beni büyük hayal kırıklığına uğrattı” dedi. “Düşündükten sonra, Sitel özet raporunu aldığımızda, etkilerini anlamak için daha hızlı hareket etmeliydik.”
Güvenlik araştırmacısı Runa Sandvik, “Okta’nın ‘hizmet ihlal edilmedi’ demesi konusunda kafanız karıştıysa, ifadenin tamamen yasal bir kelime çorbası olduğunu unutmayın.” dedim Twitter’dan. “Gerçek şu ki, bir üçüncü taraf ihlal edildi; bu ihlal Okta’yı etkiledi; ifşa etmemek Okta’nın müşterilerini etkiledi.”
Okta ve Microsoft’un güvenlik ihlalleri, Impresa, NVIDIA, Samsung, Vodafone ve Ubisoft gibi yüksek profilli kurbanları da vuran LAPSUS$ grubu tarafından sahnelenen sızıntıların en sonuncusu. Ayrıca fetihlerini 46.200’den fazla üyesi olan aktif bir Telegram kanalında duyurmasıyla da tanınır.
Siber güvenlik firması Check Point, LAPSUS$’ı “Brezilya’dan Portekizli bir bilgisayar korsanlığı grubu” olarak nitelendirdi ve Microsoft, kurbanlarını SIM değiştirme, yama uygulanmamış sunucu kusurları, karanlık web keşfi ve telefon tabanlı kimlik avı ile hedeflemeyi içeren “benzersiz ticari zanaat karışımı” olarak nitelendirdi. taktikler.
İsrailli şirket, “Grubun gerçek motivasyonu, tamamen finansal olarak motive olduğunu iddia etse bile hala belirsiz” dedi. dedim. “LAPSUS$’ın takipçileriyle güçlü bir ilişkisi var ve hatta bir sonraki talihsiz hedeflerinin kim olması gerektiğine dair etkileşimli anketler bile yayınlıyor.”
LAPSUS$’ın arkasında 16 yaşında biri mi?
Ama ilginç bir gelişmeyle, Bloomberg rapor edildi Grubu araştıran dört araştırmacıya atıfta bulunarak, “İngiltere, Oxford yakınlarındaki annesinin evinde yaşayan 16 yaşındaki bir çocuk” operasyonun arkasındaki beyin olabilir. LAPSUS$’ın başka bir üyesinin Brezilya’da yaşayan bir genç olduğundan şüpheleniliyor.
Dahası, çevrimiçi takma adı “Beyaz” ve “ihlal üssü” olan iddia edilen genç hacker, siber güvenlik uzmanı Brian Krebs’e göre geçen Temmuz ayında oyun yapımcısı Electronic Arts’a (EA) yapılan saldırıda da rol almış olabilir. son rapor “Oklaqq” namı diğer “WhiteDoxbin” lakaplı çekirdek bir LAPSUS$ üyesinin faaliyetlerini detaylandırıyor.
Krebs, “Mayıs 2021’de WhiteDoxbin’in Telegram Kimliği, dağıtılmış hizmet reddi (DDoS) saldırılarını başlatmak için Telegram tabanlı bir hizmette bir hesap oluşturmak için kullanıldı ve burada kendilerini ‘@breachbase’ olarak tanıttılar” dedi. “EA’nın geçen yılki hack’i ile ilgili haberler ilk olarak, İngilizce hacker topluluğu RaidForums’da ‘Breachbase’ kullanıcısı tarafından yeraltındaki siber suçlulara gönderildi. yakın zamanda FBI tarafından ele geçirildi“