Recentemente, em 22 de março de 2022, várias capturas de tela do computador de um dos técnicos de suporte terceirizados da Okta foram publicadas online pelo grupo de hackers Lapsus$, alegando ter roubado dados confidenciais.
Existem muitas empresas como FedEx, Moody’s Corp (MCO.N), Peloton, SONOS, T-Mobile que dependem da Okta para fornecer acesso às suas redes principalmente através de serviços de autenticação.
O Diretor de Segurança da Okta, David Bradbury declarou: –
“O compartilhamento dessas capturas de tela é constrangedor para mim e para toda a equipe Okta. No entanto, há apenas um impacto limitado para os clientes da Okta porque os engenheiros de suporte têm acesso ao serviço.”
Não está claro o tamanho da violação, mas como a Okta gerencia redes e acesso a aplicativos para milhares de empresas, ela poderá ter consequências graves. Mas David garantiu que sua identidade estava sendo investigada e eles estavam sendo contatados pela empresa.
FedEx declarou: –
“Também estamos investigando do nosso lado e atualmente não temos indicação de que nosso ambiente tenha sido acessado ou comprometido.”
Linha do tempo
- 20 de janeiro de 2022, 23h18: A Okta Security recebeu um alerta de que um novo fator foi adicionado à conta Okta de um funcionário da Sitel de um novo local. O alvo não aceitou o desafio de MFA, impedindo o acesso à conta Okta.
- 20 de janeiro de 2022, às 23h46: A Okta Security investigou o alerta e o escalou para um incidente de segurança.
- 21 de janeiro de 2022, às 00h18: O Okta Service Desk foi adicionado ao incidente para ajudar a conter a conta do usuário.
- 21 de janeiro de 2022, às 00h28: O Okta Service Desk encerrou as sessões Okta do usuário e suspendeu a conta até que a causa raiz da atividade suspeita pudesse ser identificada e corrigida.
- 21 de janeiro de 2022, às 18h: Okta Security compartilhou indicadores de comprometimento com Sitel. A Sitel nos informou que contratou suporte externo de uma empresa forense líder.
- 21 de janeiro de 2022 a 10 de março de 2022: A investigação e análise do incidente pela empresa forense foi conduzida até 28 de fevereiro de 2022, com seu relatório à Sitel datado de 10 de março de 2022.
- 17 de março de 2022: Okta recebeu um relatório resumido sobre o incidente da Sitel
- 22 de março de 2022, às 03h30: Capturas de tela compartilhadas online por LAPSUS$
- 22 de março de 2022, às 05h: Okta Security determinou que as capturas de tela estavam relacionadas ao incidente de janeiro na Sitel
- 22 de março de 2022, às 12h27: Okta recebeu o relatório completo da investigação da Sitel
Lapsus$ comprometeu dados de clientes Okta
Além disso, depois de atingir mínimos anteriores, as ações da Okta caíram 1.3% a US$ 167,14 nas negociações do final da tarde. ‘Lapsus$’ afirma que obteve acesso às contas de administrador e superusuário da Okta.com e viu os dados dos clientes da Okta.
No concorrido mercado de ransomware, o Lapsus$ é apenas um membro relativamente novo, mas desde seu primeiro hack e comportamento de busca de atenção, já causou diversas ondas e entusiasmo.
Não só isso no início deste ano, mas o grupo de hackers Lapsus$ também comprometeu os sites da Impresa, twittando que:-
“Lapsus$ é agora o novo presidente de Portugal.”
Os tickets internos do Okta e as mensagens internas do Slack aparecem em imagens postadas na conta do Telegram do Lapsus$. Enquanto estava no Telegram, Lapsus$ relatou violar os repositórios de código-fonte do Azure DevOps dois dias antes de se gabar de ter atingido o Okta.
Várias capturas de tela compartilhadas por Lapsus$ indicam que a data do hack é 21 de janeiro de 2022, o que indica que foi cometido meses atrás, e este relatório é confirmado pelo cofundador e CEO da Okta, Todd McKinnon.
No entanto, não há como dizer quantos e em que medida os clientes da Okta foram afetados pelas alegações da Lapsus$ de acesso não autorizado aos seus sistemas.
Você pode nos seguir em Linkedin, Twitter, Facebook para atualizações diárias de notícias sobre segurança cibernética e hackers.
