Le co-fondateur et PDG d'Okta, Todd McKinnon, vise à restaurer la confiance après le piratage de Lapsus $. La divulgation de la violation de données a pris des mois et n'a finalement été rendue publique que par le groupe de hackers Lapsus$. Après cela, Okta a également admis l'attaque réussie. Ainsi Todd McKinnon dans une interview sur le portail « Protocol ».
En janvier, le groupe de piratage Lapsus$ s'est retrouvé sur l'ordinateur portable d'un technicien d'une organisation de support tierce d'Okta - initialement censé avoir donné au groupe l'accès à potentiellement des centaines de clients Okta. Une enquête ultérieure qui comprenait des informations supplémentaires a révélé que seuls deux clients étaient concernés, selon Okta.
Selon Okta, seuls deux clients ont été touchés
Mais la violation de données elle-même n'a jamais été la principale préoccupation de toute façon. Beaucoup ont souligné le fait que c'est Lapsus$ et non Okta qui a informé le monde de l'incident, en publiant des captures d'écran comme preuve sur Telegram en mars. Cela a soulevé plus de quelques questions pour Okta sur la façon dont ils gèrent la violation connue vieille de plusieurs mois.
L'ironie est qu'Okta, en tant que fournisseur de premier plan de gestion des identités et des accès, est en affaires pour arrêter le type d'attaque qui a frappé son ancien fournisseur de support, Sitel. McKinnon a déclaré que la société n'avait pas utilisé le produit Okta ou l'authentification multifacteur sur les comptes VPN et Office 365 de l'ingénieur compromis. Cela les rendait vulnérables aux attaques.
L'attaque et le processus
Okta a déployé beaucoup d'efforts pour s'assurer que le produit et la plate-forme Okta sont sécurisés et que les employés d'Okta travaillent dans des environnements sûrs. L'organisation de soutien externe était dans un cercle différent en dehors de celui-ci. Okta dit de manière autocritique qu'il aurait dû être vérifié que l'accès est sécurisé.
Okta a depuis mis fin à ses relations commerciales avec le fournisseur de support Sitel. Dans le cadre de l'enquête, Okta a engagé une société médico-légale pour effectuer une évaluation complète de la faille de sécurité. À partir de là, il est devenu clair que l'attaquant avait initialement fait intrusion via une passerelle VPN, qui n'avait pas d'authentification multifacteur. Après cela, Lapsus$ est intervenu et a exploité un certain nombre de vulnérabilités de Windows pour déplacer et élever les privilèges. Ils ont également pu accéder à Office 365 - car encore une fois, il n'y avait pas d'authentification multifacteur.
L'interview complète avec des déclarations supplémentaires de Todd McKinnon, co-fondateur et PDG d'Okta est disponible sur le portail Protocol.
Kasperky a déjà analysé l'attaque plus en détail.
Plus sur Protocol.com