Okta ha comunicato di aver concluso l’indagine sull’intrusione avvenuta il 21 gennaio e resa nota il 22 marzo. Contrariamente a quanto ipotizzato, solo due clienti sono stati interessati, quindi l’attacco effettuato dal noto gruppo Lapsus$ ha avuto uno scarso successo. A fine marzo, la polizia londinese ha arrestato sette membri della gang (due sono stati incriminati).
Okta chiude le indagini: danni limitati
L’intrusione è stata rilevata quando i cybercriminali hanno tentato di aggiungere un nuovo fattore di autenticazione all’account di un dipendente di Sitel, azienda esterna che gestisce il supporto clienti. Okta ha quindi prontamente sospeso l’account e avviato l’indagine. Secondo la società di sicurezza ingaggiata da Sitel, l’accesso ai sistemi è durato cinque giorni, tra il 16 e il 21 gennaio.
In seguito all’indagine preliminare, l’azienda statunitense aveva stimato in 366 il numero di clienti potenzialmente interessati. L’analisi forense ha invece dimostrato che l’impatto è stato molto limitato. I cybercriminali hanno preso il controllo della workstation del dipendente di Sitel per accedere ai sistemi di Okta. L’intrusione è durata 25 minuti.
Durante questo intervallo di tempo è stato effettuato l’accesso alle istanze di due clienti attraverso l’applicazione SuperUser. Tuttavia non sono state eseguite operazioni più pericolose, come la modifica delle configurazioni o il reset delle password. Inoltre non è stato effettuato l’accesso a nessun account di Okta.
Dopo aver imparato la lezione, l’azienda ha deciso di gestire direttamente tutti i dispositivi utilizzati per accedere ai tool di supporto clienti. Pertanto è stata interrotta la collaborazione con Sitel. Non è noto se il dipendente è stato licenziato.