Il co-fondatore e CEO di Okta, Todd McKinnon, mira a ripristinare la fiducia dopo l'attacco di Lapsus$. La divulgazione della violazione dei dati ha richiesto mesi ed è stata finalmente resa pubblica solo dal gruppo di hacker Lapsus$. Successivamente, anche Okta ha ammesso l'attacco riuscito. Così Todd McKinnon in un'intervista al portale "Protocollo".
A gennaio, il gruppo di hacker Lapsus$ si è fatto strada sul laptop di un tecnico di un'organizzazione di supporto Okta di terze parti, inizialmente ritenuta aver dato al gruppo l'accesso a potenzialmente centinaia di clienti Okta. Un'indagine successiva che includeva ulteriori informazioni ha rilevato che solo due clienti erano interessati, secondo Okta.
Secondo Okta, solo due clienti sono stati interessati
Ma la violazione dei dati in sé non è mai stata comunque la preoccupazione principale. In molti hanno evidenziato il fatto che sia stato Lapsus$ e non Okta a raccontare al mondo l'accaduto, postando screenshot come prova su Telegram a marzo. Ciò ha sollevato più di alcune domande per Okta su come stanno gestendo la violazione nota da mesi.
L'ironia è che Okta, in qualità di importante fornitore di gestione di identità e accessi, è in affari per fermare il tipo di attacco che ha colpito il suo precedente fornitore di supporto, Sitel. McKinnon ha affermato che l'azienda non ha utilizzato il prodotto Okta o l'autenticazione a più fattori sugli account VPN e Office 365 dell'ingegnere compromesso. Questo li ha resi vulnerabili agli attacchi.
L'attacco e il processo
Okta si è impegnata molto per garantire che il prodotto e la piattaforma Okta siano sicuri e che i dipendenti Okta lavorino in ambienti sicuri. L'organizzazione di supporto esterno era in un anello diverso al di fuori di essa. Okta afferma in modo autocritico che avrebbe dovuto essere verificato che l'accesso fosse sicuro.
Da allora Okta ha concluso i rapporti commerciali con il fornitore di supporto Sitel. Come parte del workup, Okta ha incaricato una società forense di condurre una valutazione completa della violazione della sicurezza. Da ciò è emerso chiaramente che l'attaccante si era originariamente intromesso tramite un gateway VPN, che non disponeva di autenticazione a più fattori. Successivamente, Lapsus $ è intervenuto e ha sfruttato una serie di vulnerabilità di Windows per spostare e aumentare i privilegi. Sono stati anche in grado di accedere a Office 365, perché ancora una volta non aveva l'autenticazione a più fattori.
L'intervista completa con ulteriori dichiarazioni di Todd McKinnon, co-fondatore e CEO di Okta è disponibile sul portale Protocol.
Kasperky ha già analizzato ulteriormente l'attacco.
Altro su Protocol.com