Le fournisseur de services d’authentification Okta a d\u00e9sign\u00e9 mercredi Sitel comme le tiers li\u00e9 \u00e0 un incident de s\u00e9curit\u00e9 rencontr\u00e9 par l’entreprise fin janvier qui a permis au gang d’extorsion de dollars LAPSUS de prendre le contr\u00f4le \u00e0 distance d’un compte interne appartenant \u00e0 un ing\u00e9nieur du support client.<\/p>\n
La soci\u00e9t\u00e9 a ajout\u00e9 que 366 entreprises clientes, soit environ 2,5% de sa client\u00e8le, pourraient avoir \u00e9t\u00e9 impact\u00e9es par le compromis “fortement contraint”.<\/p>\n
“Le 20 janvier 2022, l’\u00e9quipe Okta Security a \u00e9t\u00e9 alert\u00e9e qu’un nouveau facteur avait \u00e9t\u00e9 ajout\u00e9 au compte Okta d’un ing\u00e9nieur du support client de Sitel [from a new location]”, le responsable de la s\u00e9curit\u00e9 d’Okta, David Bradbury, mentionn\u00e9<\/a> dans un rapport. “Ce facteur \u00e9tait un mot de passe.”<\/p>\n La divulgation intervient apr\u00e8s que LAPSUS$ a publi\u00e9 des captures d’\u00e9cran des applications et des syst\u00e8mes d’Okta plus t\u00f4t cette semaine, environ deux mois apr\u00e8s que les pirates ont eu acc\u00e8s au r\u00e9seau interne de l’entreprise sur une p\u00e9riode de cinq jours entre le 16 et le 21 janvier 2022 en utilisant le protocole de bureau \u00e0 distance (RDP<\/a>) jusqu’\u00e0 ce que l’activit\u00e9 MFA soit d\u00e9tect\u00e9e et que le compte soit suspendu dans l’attente d’une enqu\u00eate plus approfondie.<\/p>\n Bien que la soci\u00e9t\u00e9 ait initialement tent\u00e9 de minimiser l’incident, le groupe LAPSUS $ a appel\u00e9 la soci\u00e9t\u00e9 bas\u00e9e \u00e0 San Francisco pour ce qu’elle pr\u00e9tendait \u00eatre des mensonges, d\u00e9clarant “Je ne sais toujours pas comment c’est un [sic] tentative infructueuse ? Connect\u00e9 \u00e0 [sic] le portail SuperUser avec la possibilit\u00e9 de r\u00e9initialiser le mot de passe et le MFA d’environ 95\u00a0% des clients ne fonctionne pas\u00a0?”<\/p>\n Contrairement \u00e0 son nom, SuperUser, a d\u00e9clar\u00e9 Okta, est utilis\u00e9 pour effectuer des fonctions de gestion de base associ\u00e9es \u00e0 ses clients locataires et fonctionne selon le principe du moindre privil\u00e8ge (PoLP<\/a>) \u00e0 l’esprit, accordant au personnel d’assistance l’acc\u00e8s aux seules ressources qui sont pertinentes pour leurs r\u00f4les.<\/p>\n Okta, qui a fait l’objet de critiques pour son retard \u00e0 informer les clients de l’incident, a not\u00e9 qu’il avait partag\u00e9 des indicateurs de compromis avec Sitel le 21 janvier, qui a ensuite engag\u00e9 les services d’une soci\u00e9t\u00e9 m\u00e9dico-l\u00e9gale anonyme qui, \u00e0 son tour, a continu\u00e9 \u00e0 effectuer le enqu\u00eate et partager ses conclusions le 10 mars 2022.<\/p>\n Selon une chronologie des \u00e9v\u00e9nements partag\u00e9e par la soci\u00e9t\u00e9, “Okta a re\u00e7u un rapport de synth\u00e8se sur l’incident de Sitel” la semaine derni\u00e8re, le 17 mars 2022.<\/p>\n “Je suis tr\u00e8s d\u00e9\u00e7u par la longue p\u00e9riode qui s’est \u00e9coul\u00e9e entre notre notification \u00e0 Sitel et la publication du rapport d’enqu\u00eate complet”, a d\u00e9clar\u00e9 Bradbury. “Apr\u00e8s r\u00e9flexion, une fois que nous avons re\u00e7u le rapport de synth\u00e8se de Sitel, nous aurions d\u00fb agir plus rapidement pour comprendre ses implications.”<\/p>\n “Si vous \u00eates confus \u00e0 propos d’Okta disant que” le service n’a pas \u00e9t\u00e9 viol\u00e9 “, rappelez-vous que la d\u00e9claration est purement une soupe de mots juridiques”, a d\u00e9clar\u00e9 Runa Sandvik, chercheuse en s\u00e9curit\u00e9. mentionn\u00e9<\/a> sur Twitter. “Le fait est qu’un tiers a \u00e9t\u00e9 viol\u00e9\u00a0; cette violation a affect\u00e9 Okta\u00a0; le fait de ne pas le divulguer a affect\u00e9 les clients d’Okta.”<\/p>\n Les failles de s\u00e9curit\u00e9 d’Okta et de Microsoft sont les derni\u00e8res d’une s\u00e9rie d’infiltrations organis\u00e9es par le groupe LAPSUS$, qui a \u00e9galement touch\u00e9 des victimes de premier plan comme Impresa, NVIDIA, Samsung, Vodafone et Ubisoft. Il est \u00e9galement connu pour faire conna\u00eetre ses conqu\u00eates sur une cha\u00eene Telegram active qui compte plus de 46 200 membres.<\/p>\n La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9 Check Point a d\u00e9crit LAPSUS$ comme un “groupe de piratage portugais du Br\u00e9sil”, Microsoft appelant son “m\u00e9lange unique d’artisanat” qui consiste \u00e0 cibler ses victimes avec l’\u00e9change de cartes SIM, des failles de serveur non corrig\u00e9es, la reconnaissance du dark web et le phishing par t\u00e9l\u00e9phone. tactique.<\/p>\n “La v\u00e9ritable motivation du groupe n’est cependant pas encore claire, m\u00eame s’il pr\u00e9tend \u00eatre purement financier”, a d\u00e9clar\u00e9 l’entreprise isra\u00e9lienne. mentionn\u00e9<\/a>. “LAPSUS$ a un fort engagement avec ses followers, et publie m\u00eame des sondages interactifs sur qui devrait \u00eatre leur prochaine cible malheureuse.”<\/p>\n Mais dans une tournure int\u00e9ressante, Bloomberg signal\u00e9<\/a> qu'”un jeune de 16 ans vivant chez sa m\u00e8re pr\u00e8s d’Oxford, en Angleterre” pourrait \u00eatre le cerveau derri\u00e8re l’op\u00e9ration, citant quatre chercheurs enqu\u00eatant sur le groupe. Un autre membre de LAPSUS$ est soup\u00e7onn\u00e9 d’\u00eatre un adolescent vivant au Br\u00e9sil.<\/p>\n De plus, le pirate informatique adolescent pr\u00e9sum\u00e9, qui s’appelle “White” et “breachbase”, pourrait \u00e9galement avoir jou\u00e9 un r\u00f4le dans l’intrusion chez le fabricant de jeux Electronic Arts (EA) en juillet dernier, selon l’expert en cybers\u00e9curit\u00e9 Brian Krebs. dernier rapport<\/a> d\u00e9taillant les activit\u00e9s d’un membre principal de LAPSUS$ surnomm\u00e9 “Oklaqq” alias “WhiteDoxbin”.<\/p>\n “En mai 2021, l’identifiant Telegram de WhiteDoxbin a \u00e9t\u00e9 utilis\u00e9 pour cr\u00e9er un compte sur un service bas\u00e9 sur Telegram pour lancer des attaques par d\u00e9ni de service distribu\u00e9 (DDoS), o\u00f9 ils se sont pr\u00e9sent\u00e9s comme” @breachbase “”, a not\u00e9 Krebs. “La nouvelle du piratage d’EA l’ann\u00e9e derni\u00e8re a \u00e9t\u00e9 publi\u00e9e pour la premi\u00e8re fois dans la clandestinit\u00e9 cybercriminelle par l’utilisateur ‘Breachbase’ sur la communaut\u00e9 de hackers de langue anglaise RaidForums, qui \u00e9tait r\u00e9cemment saisi par le FBI<\/a>.”<\/p>\n <\/p>\n<\/div>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/TrickBot-Gang-est-susceptible-de-modifier-ses-operations-pour-passer.png\")
<\/a><\/div>\n![\"Emp\u00eacher](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1647417170_810_Facebook-frappe-dune-amende-de-186-millions-de-dollars-GDPR.jpeg\")
<\/a><\/div>\nUn jeune de 16 ans derri\u00e8re LAPSUS$ ?<\/h3>\n