El cofundador y director ejecutivo de Okta, Todd McKinnon, tiene como objetivo restaurar la confianza después del hackeo de Lapsus$. La revelación de la violación de datos tomó meses y finalmente solo la hizo pública el grupo de hackers Lapsus$. Después de eso, Okta también admitió el ataque exitoso. Así Todd McKinnon en una entrevista en el portal “Protocolo”.
En enero, el grupo de piratas informáticos Lapsus$ encontró el camino hacia la computadora portátil de un técnico en una organización de soporte de Okta de terceros, que inicialmente se creía que le había dado acceso al grupo a cientos de clientes de Okta. Una investigación posterior que incluyó información adicional encontró que solo dos clientes se vieron afectados, según Okta.
Según Okta, solo dos clientes se vieron afectados
Pero la violación de datos en sí misma nunca fue la principal preocupación de todos modos. Muchos destacaron el hecho de que fue Lapsus$ y no Okta quien le contó al mundo sobre el incidente, publicando capturas de pantalla como evidencia en Telegram en marzo. Esto generó más de unas pocas preguntas para Okta sobre cómo están manejando la brecha conocida de hace meses.
La ironía es que Okta, como destacado proveedor de administración de acceso e identidad, está en el negocio para detener el tipo de ataque que afectó a su antiguo proveedor de soporte, Sitel. McKinnon dijo que la empresa no usó el producto Okta ni la autenticación multifactor en las cuentas VPN y Office 365 del ingeniero comprometido. Esto los dejó vulnerables a los ataques.
El ataque y el proceso.
Okta se ha esforzado mucho para garantizar que el producto y la plataforma de Okta sean seguros y que los empleados de Okta trabajen en entornos seguros. La organización de apoyo externo estaba en un círculo diferente fuera de ella. Okta dice autocríticamente que se debería haber comprobado que el acceso es seguro.
Desde entonces, Okta ha terminado las relaciones comerciales con el proveedor de soporte Sitel. Como parte del trabajo, Okta contrató a una firma forense para realizar una evaluación completa de la brecha de seguridad. A partir de esto, quedó claro que el atacante originalmente se entrometió a través de una puerta de enlace VPN, que no tenía autenticación de múltiples factores. Después de eso, Lapsus$ intervino y explotó una serie de vulnerabilidades de Windows para mover y escalar privilegios. También pudieron ingresar a Office 365, porque nuevamente no tenía autenticación multifactor.
La entrevista completa con declaraciones adicionales de Todd McKinnon, cofundador y director ejecutivo de Okta, está disponible en el portal de Protocol.
Kasperky ya ha analizado más a fondo el ataque.
Más en Protocol.com