Okta, bilgisayar korsanlarının bir müşteri hizmetleri mühendisinin dizüstü bilgisayarına erişim sağladığı Ocak ayındaki bir güvenlik ihlalini müşterilerine daha erken bildirmeyerek ‘hata yaptığını’ kabul etti.
22 Mart’ta Lapsus$ grubu, Okta sistemlerinin bir Sitel müşteri hizmetleri mühendisinin dizüstü bilgisayarından alınan ve bilgisayar korsanlarının 20 Ocak’ta uzaktan erişim sağladığı ekran görüntülerini yayınladı.
“Bir hata yaptığımızı kabul etmek isteriz. Sitel, nihai olarak sorumlu olduğumuz hizmet sağlayıcımızdır. Ocak ayı itibariyle, Sitel’in sorununun boyutunu bilmiyorduk – sadece bir devralma girişimini tespit edip engelledik. hesap ve Sitel’in araştırmak için üçüncü taraf bir adli tıp firmasının hizmetlerini elinde tuttuğunu. O zaman, Okta ve müşterilerimiz için bir risk olduğunu bilmiyorduk. Sitel’den daha aktif ve güçlü bir şekilde bilgi talep etmeliyiz,” Okta bir açıklamada söyledi. Cuma günü yayınlanan SSSOkta, Ocak ayında müşterilerini neden bilgilendirmedi?
20 Ocak’ta Okta, bir Sitel çalışanının Okta hesabını kullanarak Okta ağına doğrudan erişme girişiminde bulundu. Şirket, bu erişim girişimi dışında Okta’nın sistemlerinde şüpheli faaliyet olduğuna dair başka bir kanıt bulunmadığını söyledi.
Okta, kurumsal erişim yönetimi yazılımının lider sağlayıcısıdır. Toplum dedim yalnızca 366 müşterinin veya müşteri tabanının yaklaşık %2,5’inin etkilendiğini bildirdi. Ancak müşterilerin olaydan neden daha erken haberdar olmadığı sorgulandı.
Okta, SSS’sinde şunları söylüyor: “Geçen hafta boyunca topladığımız kanıtlar ışığında, bugün sahip olduğumuz tüm gerçeklere sahip olsaydık, farklı bir karar verirdik.”
Şirket, bir Sitel çalışanının Okta hesabına yeni bir faktörün eklendiğine dair bir uyarı aldığı 20 Ocak’tan Lapsus$’ın yakaladığı ekran görüntülerini yayınladığı 22 Mart’a kadar olan olayların ayrıntılı bir zaman çizelgesini sağladı.
Başka bir hikaye
Sitel, 21 Ocak’ta izinsiz girişi araştırmak için bir anket şirketi tuttu ve soruşturma 28 Şubat’ta sonuçlandı. tarafından yayınlanan makalelere göre TechCrunch ve Wired, bu şirket kısa süre önce Google tarafından satın alınan tehdit analizi şirketi Mandiant olacaktı. Bu raporun bir kısmı da iki yayının gazetecilerine iletildi.
Wired’a göre, Sitel’in dahili ağına izinsiz giriş aslında 16 Ocak’a kadar uzanıyor: şirketin, o tarihte yan kuruluşlarından biri olan Sykes’a ait bir bilgisayar ağında bir güvenlik olayı tespit ettiği bildirildi. Saldırganlar, daha sonra, virüslü ağ içinde hareket etmek ve Sitel ağına geri dönmek için bu ilk erişimden yararlanırdı.
Raporda belirtilen unsurlar arasında yazarlar, saldırganların özellikle 21 Ocak’ta adı “DomAdmins-LastPass.xlsx” olan bir Excel elektronik tablosuna eriştiklerini belirtiyor. TechCrunch’a göre bu, Lastpass uygulamasından yapılan etki alanı yöneticisi şifrelerinin dışa aktarılmasına karşılık gelir.
Bu arşive eriştikten beş saat sonra, saldırganlar ağ üzerinde yeni bir yönetici hesabı oluşturarak, saldırganlar tarafından başlangıçta kullanılan hesap sıfırlansa bile erişimi sürdürmelerine izin verdi.
Raporda ayrıca Sitel’in 25 Ocak’ta müşterileriyle olası bir güvenlik olayı hakkında bilgi vermek için iletişime geçtiği belirtiliyor. Wired, Sitel’in özellikle ağında herhangi bir güvenlik ihlali veya kötü amaçlı yazılım belirtisi tespit etmediğini belirterek bu izinsiz girişin etkisini en aza indirdiğini belirtiyor.
Sitel’e verilen bilirkişi raporu 10 Mart tarihli ve Okta’nın zaman çizelgesine göre Okta bu raporun bir özetini 17 Mart’ta aldı.
Ekran görüntülerini yayınladıktan sonra, Okta güvenlik müdürü David Bradbury “Sitel’e bildirimimiz ile soruşturma raporunun tamamının yayınlanması arasında geçen süreden dolayı hayal kırıklığına uğradığını” söyledi.
Kaynak: “ZDNet.com”