El proveedor de administración de identidad y acceso Okta dijo el martes que concluyó su investigación sobre la violación de un proveedor externo a fines de enero de 2022 por parte de la banda extorsionadora de LAPSUS$.
Al afirmar que el “impacto del incidente fue significativamente menor que el impacto potencial máximo” que la compañía había compartido previamente el mes pasado, Okta dicho la intrusión afectó solo a dos inquilinos clientes, frente a los 366 que se suponía inicialmente.
El evento de seguridad tuvo lugar el 21 de enero cuando el grupo de hackers LAPSUS$ obtuvo acceso remoto no autorizado a una estación de trabajo perteneciente a un ingeniero de soporte de Sitel. Pero solo se hizo público casi dos meses después cuando el adversario publicó capturas de pantalla de los sistemas internos de Okta en su canal de Telegram.
Además de acceder a dos inquilinos de clientes activos dentro de la aplicación SuperUser, utilizada para realizar funciones de administración básicas, se dice que el grupo de piratas informáticos vio información adicional limitada en otras aplicaciones como Slack y Jira, lo que corrobora informes anteriores.
“El control duró 25 minutos consecutivos el 21 de enero de 2022”, dijo David Bradbury, director de seguridad de Okta. “El actor de amenazas no pudo realizar con éxito ningún cambio de configuración, restablecimiento de MFA o contraseña, o eventos de ‘suplantación’ de atención al cliente”.
“El actor de amenazas no pudo autenticarse directamente en ninguna cuenta de Okta”, agregó Bradbury.
Okta, que enfrentó críticas por su divulgación tardía y su manejo del incidente, dijo que terminó su relación con Sitel y que está realizando cambios en su herramienta de atención al cliente para “limitar de manera restrictiva la información que puede ver un ingeniero de soporte técnico”.