Sitel’in Okta’nın yaşadığı son güvenlik olayından sorumlu üçüncü kişi olduğu söyleniyor.
Bu Çarşamba, Okta’nın güvenlik şefi David Bradbury, olayla ilgili bu hususta ifade “kendim ve tüm Okta ekibi için bir utanç kaynağı”.
İzinsiz girişin ekran görüntüleri
Bir hatırlatma olarak, siber suçlu grubu Lapsus$, bu hafta başlarında “Okta.com Süper Kullanıcısı/Yöneticisi ve diğer çeşitli sistemlere” erişim kazandığını gösteren ekran görüntüleri yayınladı. Bu olayın ardından kimlik doğrulama hizmetleri şirketi, bir iç soruşturma başlatıldığını duyurdu.
Okta’ya göre, izinsiz giriş beş günlük bir pencere içinde gerçekleşmiş olabilir. David Bradbury, “Adli tıp firmasının raporu, 16 Ocak ile 21 Ocak 2022 arasında, siber saldırganların Sitel ortamına erişebildiği ve kendi analizimizle doğruladığımız beş günlük bir pencere olduğunu vurguladı” diyor.
Ona göre, bir müşteri hizmetleri mühendisinin dizüstü bilgisayarı izinsiz girişin kaynağıydı ve cihaz “Sitel’e aitti ve onun tarafından yönetiliyordu”. Sitel bir Okta müteahhitidir.
Uzaktan erişim
David Bradbury, saldırganların dizüstü bilgisayara erişmek için uzak masaüstü protokolü (RDP) kullandığını söyledi.
Okta’nın güvenlik müdürü, ne olduğunu açıklamak için bir kullanıcı “bir kafede bilgisayarından uzaklaşan” ve “makinesinin önünde fare ve klavye kullanarak (bu durumda neredeyse) oturan bir yabancı” benzetmesini kullandı. ”.
“Yani saldırgan hesap devralma yoluyla Okta hizmetine hiçbir zaman erişim sağlayamadı, ancak Okta’ya bağlı bir makinenin güvenliği ihlal edildi ve ekran görüntüleri alıp makineyi RDP oturumu aracılığıyla kontrol edebildiler” diye ekliyor.
Çok faktörlü kimlik doğrulamayı ele geçirme girişimi
125.000 giriş girişini analiz ettikten sonra şirket, 366’ya kadar müşterinin etkilenmiş olabileceğini söylüyor.
20 Ocak’ta, Sitel’in destek mühendisi hesabında yeni bir çok faktörlü kimlik doğrulama eklentisinin “denendiği” konusunda bir uyarı yayınlandı. David Bradbury, “birkaç dakika” sonra Okta oturumlarının sonlandırıldığını ve soruşturmanın beklendiğini iddia ediyor. Ancak, çok faktörlü kimlik doğrulama için yeni bir cihaz kaydetme “denemesinin” “başarısız” olduğunu açıklığa kavuşturuyor.
Bir gün sonra, Okta tarafından, aynı zamanda soruşturma yardımı yapan Sitel ile uzlaşma göstergeleri (IoC’ler) paylaşıldı. Okta daha sonra olayın bir özetini aldı, ancak raporun tamamı düne kadar yayınlanmadı.
“Ciddi derecede sınırlı” erişim
David Bradbury, kullanıcılara güvence vermek istedi: Ekran görüntülerinde görüntülenen “Süper kullanıcı” modu, “ilahi” erişime izin vermiyor. Başka bir deyişle, destek mühendisleri hesaplarını yalnızca “temel görevler ve gelen destek taleplerini işleme” için kullanabilir.
Bu nedenle, siber saldırganların Sitel ortamına erişimleri olsa bile “çok sınırlı” olduklarını açıklıyor. Ve şunu da eklemek gerekirse, “müşteriler tarafından herhangi bir düzeltici önlem alınmaması gerektiğine inanıyoruz”.
Ancak, “şeffaflık” adına, etkilenen müşteriler bir olay raporu alacaktır. Bu, güvenlik yöneticisine göre “yalnızca güvenliğe olan bağlılığımızı güçlendirecek”.
“Güvenilir ve güvenli bir Okta hizmetine sahip olmanız için yorulmadan çalışmaya devam edeceğiz” diye ekliyor.
Sitel’in tepkisi
Sitel grubundan bir operatör ZDNet’e verdiği demeçte, “Ocak 2022’de Sykes ağının bazı bölümlerini etkileyen bir güvenlik ihlalini takiben, olayı kontrol altına almak ve potansiyel olarak etkilenen tüm müşterileri korumak için derhal harekete geçtik” dedi.
İkincisi, grubun dünya çapındaki güvenlik ve teknoloji ekipleri tarafından harekete geçildiğini ve “küresel bir siber güvenlik liderinin konuyla ilgili acil ve eksiksiz bir soruşturma yürütmek için görevlendirildiğini” ekliyor.
“Bu soruşturmanın yanı sıra dış tehditlere yönelik sürekli değerlendirmemizin ardından, artık bir güvenlik riski olmadığına ikna olduk” diye güvence veriyor.
Kaynak: ZDNet.com