L’extorsion numérique Le groupe Lapsus$ a plongé le monde de la sécurité dans le désarroi lundi en affirmant qu’il avait eu accès à un compte administratif “super utilisateur” pour la plate-forme de gestion d’identité Okta. Étant donné que de nombreuses organisations utilisent Okta comme gardien de leur suite de services cloud, une telle attaque pourrait avoir des ramifications majeures pour un certain nombre de clients Okta. Bien qu’Okta ait publié de nouveaux détails, notamment en clarifiant ce que signifie “super utilisateur” et l’étendue potentielle de la violation, les questions sur l’incident et la manière dont l’entreprise l’a géré restent sans réponse.
Okta a déclaré dans un bref communiqué tôt mardi matin qu’à la fin janvier, il avait “détecté une tentative de compromission du compte d’un ingénieur de support client tiers travaillant pour l’un de nos sous-traitants”, mais que “l’affaire a été étudiée et maîtrisée par le sous-traitant. »
Dans une déclaration détaillée mardi après-midi, le responsable de la sécurité d’Okta, David Bradbury, a déclaré catégoriquement : “Le service Okta n’a pas été piraté”. Cependant, les détails qui ont émergé, y compris la déclaration de Bradbury elle-même, brossent un tableau confus, et les informations contradictoires ont rendu difficile pour les clients d’Okta et les autres personnes qui dépendent d’eux d’évaluer leur risque et l’étendue des dommages.
“Il y a deux grandes inconnues en ce qui concerne l’incident d’Okta : la nature spécifique de l’incident et son impact potentiel sur les clients d’Okta”, déclare Keith McCammon, directeur de la sécurité de la société de sécurité réseau et de réponse aux incidents Red Canary. “C’est exactement le type de situation qui amène les clients à s’attendre à une notification plus proactive des incidents de sécurité qui affectent leur produit ou leurs clients.”
Mardi soir, environ huit heures après avoir publié la déclaration de Bradbury, Okta a mis à jour l’avis avec des informations supplémentaires. Plus précisément, la société a admis qu’environ 2,5 % de ses clients « ont potentiellement été touchés », ajoutant que leurs données « peuvent avoir été consultées ou utilisées ». Dans une mise à jour ultérieure, la société a précisé que « l’impact potentiel maximal » de la violation est de 366 clients ; Okta a déclaré avoir plus de 14 000 clients en février.
La déclaration initiale de Bradbury indiquait que la société n’avait reçu cette semaine qu’une analyse de l’incident de janvier de la part de la société privée de criminalistique qu’elle avait engagée pour évaluer la situation. Le moment coïncide avec la décision de Lapsus $ de publier des captures d’écran, via Telegram, qui prétendent détailler son accès au compte administratif Okta à partir de fin janvier.
La déclaration élargie de la société commence par dire qu’elle “a détecté une tentative infructueuse de compromettre le compte d’un ingénieur de support client travaillant pour un fournisseur tiers”. Mais apparemment, une tentative a réussi, car Bradbury poursuit en disant que le rapport d’incident a récemment révélé “une fenêtre de temps de cinq jours entre le 16 et le 21 janvier 2022, où un attaquant avait accès à l’ordinateur portable d’un ingénieur de support”.
La déclaration ajoute que, pendant ces cinq jours, les attaquants auraient eu l’accès complet accordé aux ingénieurs de support, ce qui n’inclut pas la possibilité de créer ou de supprimer des utilisateurs, de télécharger des bases de données clients ou d’accéder aux mots de passe des utilisateurs existants, mais inclut l’accès à Jira. les tickets, les listes d’utilisateurs et, surtout, la possibilité de réinitialiser les mots de passe et les jetons d’authentification multifacteur (MFA). Ce dernier est le principal mécanisme que les pirates Lapsus$ auraient probablement abusé pour prendre en charge les connexions Okta dans les organisations cibles et s’infiltrer.
