Kimlik doğrulama platformu Okta’nın Lapsus$ hack grubu tarafından ihlal edilmesinden üç ay sonra, şirket, etkinin başlangıçta inanıldığından daha az ciddi olduğunu tespit ettikten sonra iç soruşturmasını tamamladı.
İçinde Blog yazısı Salı günü yayınlanan bir haberde Okta’nın güvenlik şefi David Bradbury, şirketin hack’in ayrıntılarını keşfedildikten kısa bir süre sonra paylaşarak şeffaf olduğunu, ancak daha fazla analizin potansiyel kapsamın erken değerlendirmelerini düşürdüğünü kaydetti.
“İç güvenlik uzmanlarımızın yanı sıra adli rapor hazırlamak üzere görevlendirdiğimiz dünya çapında tanınan bir siber güvenlik firmasının kapsamlı soruşturmasının bir sonucu olarak, olayın etkisinin maksimum potansiyelden önemli ölçüde daha az olduğu sonucuna varabiliyoruz. Okta’nın ilk olarak 22 Mart 2022’de paylaştığı etki, ”diye yazdı Bradbury.
Lapsus$ hacker grubundan bilgisayar korsanları, 21 Ocak’ta Okta için müşteri hizmetleri işlevleri sağlamak üzere taşeron bir şirket olan Sitel’in bir çalışanına ait bir makineye uzaktan erişim sağlayarak Okta’nın sistemlerini tehlikeye attı. Saldırının ayrıntıları iki ay sonra Lapsus$ üyesi bir Telegram kanalında Okta’nın dahili sistemlerinin ekran görüntülerini paylaştığında ortaya çıktı – Bradbury’nin Okta güvenlik ekibi için “utanç” olarak nitelendirdiği bir olay.
Okta’nın çok sayıda başka teknoloji platformuna erişimi yönetmek için bir kimlik doğrulama merkezi olarak rolü nedeniyle, ihlal bir utançtan çok endişe vericiydi. Okta, Salesforce, Google Workspace veya Microsoft Office 365 gibi kurumsal yazılımları kullanan şirketler için tek bir güvenli erişim noktası sağlayarak yöneticilerin kullanıcıların nasıl, ne zaman ve nerede oturum açacağını kontrol etmesine ve en kötü senaryoda, bir şirketin tüm yazılım yığınına aynı anda hacker erişimi.
Mart ayında basın ve müşterilerle yapılan bir brifingde Bradbury, şirketin güvenlik protokollerinin bilgisayar korsanlarının iç sistemlere erişimini sınırladığını söyledi, bu son soruşturma tarafından doğrulanmış gibi görünüyor.
Okta’nın ilk raporu, maksimum yetkisiz erişim süresinin beş günden fazla olmadığı sonucuna varırken, son adli tıp raporu erişim süresinin aslında sadece 25 dakika olduğunu buldu. Ve önceki etki değerlendirmesinin etkilenen maksimum kuruluş sayısını 366 ile sınırladığı yerde, yeni rapor yalnızca iki Okta müşterisinin kimlik doğrulama sistemine erişildiğini buldu.
Okta, bu kısa erişim süresi boyunca Lapsus$’ın herhangi bir müşteri hesabında doğrudan kimlik doğrulaması yapamadığını veya yapılandırma değişiklikleri yapamadığını söyledi.
Adli raporun ışığında, şirketin itibarı hala bir darbe almış olsa da, Okta’nın ihlali ele alması, ifşa ve müdahale için en iyi uygulamalara uygun olarak yapılmış gibi görünüyor.
Bradbury, “Uzlaşmanın genel etkisinin, başlangıçta ele aldığımızdan önemli ölçüde daha küçük olduğu belirlenmiş olsa da, bu tür bir uzlaşmanın müşterilerimiz ve Okta’ya olan güvenleri üzerinde sahip olabileceği geniş bedelin farkındayız,” dedi.