Okta, azienda statunitense che offre servizi di autenticazione e gestione dell’identità, ha confermato l’accesso ai suoi sistemi interni attraverso l’account di un ingegnere del supporto clienti affidato ad una società esterna. Il Chief Security Officer David Bradbury ha specificato che l’attacco pubblicizzato sul canale Telegram del gruppo Lapsus$ è avvenuto due mesi fa.
Okta: interessati circa il 2,5% dei clienti
Gli screenshot pubblicati il 22 marzo dal gruppo Lapsus$ provengono da un computer usato da un ingegnere che lavora per Sitel, una società che gestisce il supporto clienti. Il 20 gennaio è stata rilevata una modifica alla funzionalità MFA (autenticazione multifattore) dell’account Okta appartenente al dipendente di Sitel. Okta ha quindi sospeso l’account per determinare la causa dell’attività sospetta e chiesto chiarimento a Sitel, dalla quale ha ricevuto il report solo il 17 marzo.
In base al risultato delle indagini, il gruppo Lapsus$ ha avuto accesso al laptop dell’ingegnere tra il 16 e il 21 gennaio, quindi per cinque giorni. L’accesso è stato ottenuto tramite RDP (Remote Desktop Protocol). L’ingegnere aveva tuttavia “poteri” limitati, in quanto non poteva creare o cancellare utenti, scaricare i database dei clienti, accedere alle repository del codice sorgente o leggere le password.
Dopo aver analizzato i log degli accessi, Okta ha stimato che il problema di sicurezza riguarda circa 366 clienti (il 2,5% del totale). Questi clienti sono stati identificati e contattati via email. Il gruppo Lapsus$ ha successivamente comunicato che l’accesso è avvenuto tramite un thin client, non il notebook di un dipendente. Inoltre l’intrusione è durata due mesi, non cinque giorni.