Kimlik ve erişim yönetimi sağlayıcısı Okta Salı günü, LAPSUS$ gaspçı çetesi tarafından Ocak 2022’nin sonlarında üçüncü taraf bir satıcının ihlaline ilişkin soruşturmasını tamamladığını söyledi.
Olayın etkisinin, şirketin geçen ay daha önce paylaştığı “maksimum potansiyel etkiden önemli ölçüde daha az olduğunu” belirten Okta, dedim izinsiz giriş, başlangıçta varsayıldığı gibi 366’dan yalnızca iki müşteri kiracısını etkiledi.
Güvenlik olayı 21 Ocak’ta LAPSUS$ korsan grubunun bir Sitel destek mühendisine ait bir iş istasyonuna yetkisiz uzaktan erişim sağlamasıyla gerçekleşti. Ancak düşman, Okta’nın dahili sistemlerinin ekran görüntülerini Telegram kanallarında yayınladığında, yaklaşık iki ay sonra kamuoyunun bilgisi haline geldi.
Hacker grubunun, temel yönetim işlevlerini gerçekleştirmek için kullanılan SuperUser uygulamasındaki iki aktif müşteri kiracısına erişmeye ek olarak, Slack ve Jira gibi diğer uygulamalarda sınırlı ek bilgileri görüntülediği ve önceki raporları doğruladığı söyleniyor.
Okta’nın güvenlik şefi David Bradbury, “Kontrol 21 Ocak 2022’de art arda 25 dakika sürdü” dedi. “Tehdit aktörü herhangi bir yapılandırma değişikliği, MFA veya parola sıfırlama veya müşteri desteği ‘kimliğe bürünme’ olaylarını başarıyla gerçekleştiremedi.”
Bradbury, “Tehdit aktörü, herhangi bir Okta hesabının kimliğini doğrudan doğrulayamadı” dedi.
Gecikmiş ifşası ve olayı ele alması nedeniyle eleştirilere maruz kalan Okta, Sitel ile ilişkisini sonlandırdığını ve müşteri destek aracında “bir teknik destek mühendisinin görüntüleyebileceği bilgileri kısıtlayıcı bir şekilde sınırlamak” için değişiklik yaptığını söyledi.