Le fournisseur de gestion des identités et des accès Okta a déclaré mardi avoir conclu son enquête sur la violation d’un fournisseur tiers fin janvier 2022 par le gang d’extorqueurs LAPSUS$.
Déclarant que « l’impact de l’incident était nettement inférieur à l’impact potentiel maximum » que la société avait précédemment partagé le mois dernier, Okta mentionné l’intrusion n’a touché que deux clients locataires, contre 366 initialement supposés.
L’événement de sécurité a eu lieu le 21 janvier lorsque le groupe de piratage LAPSUS$ a obtenu un accès à distance non autorisé à un poste de travail appartenant à un ingénieur de support Sitel. Mais cela n’est devenu public que près de deux mois plus tard, lorsque l’adversaire a publié des captures d’écran des systèmes internes d’Okta sur sa chaîne Telegram.
En plus d’accéder à deux locataires clients actifs dans l’application SuperUser – utilisée pour effectuer des fonctions de gestion de base – le groupe de pirates aurait consulté des informations supplémentaires limitées dans d’autres applications comme Slack et Jira, corroborant les rapports précédents.
« Le contrôle a duré 25 minutes consécutives le 21 janvier 2022 », a déclaré David Bradbury, responsable de la sécurité d’Okta. « L’acteur de la menace n’a pas pu effectuer avec succès les modifications de configuration, les réinitialisations de MFA ou de mot de passe, ou les événements d' »emprunt d’identité » du support client. »
« L’acteur de la menace n’a pas pu s’authentifier directement sur les comptes Okta », a ajouté Bradbury.
Okta, qui a été critiqué pour sa divulgation tardive et sa gestion de l’incident, a déclaré qu’il avait mis fin à sa relation avec Sitel et qu’il apportait des modifications à son outil de support client pour « limiter de manière restrictive les informations qu’un ingénieur de support technique peut voir ».