O cofundador e CEO da Okta, Todd McKinnon, pretende restaurar a confiança após o hack do Lapsus$. A divulgação da violação de dados levou meses e só foi tornada pública pelo grupo de hackers Lapsus$. Depois disso, Okta também admitiu o ataque bem-sucedido. Então Todd McKinnon em entrevista ao portal “Protocolo”.
Em janeiro, o grupo de hackers Lapsus$ encontrou o caminho para o laptop de um técnico de uma organização terceirizada de suporte da Okta - inicialmente acredita-se que tenha dado ao grupo acesso a potencialmente centenas de clientes da Okta. Uma investigação posterior que incluiu informações adicionais descobriu que apenas dois clientes foram afetados, de acordo com a Okta.
Segundo a Okta, apenas dois clientes foram afetados
Mas a violação de dados em si nunca foi a principal preocupação de qualquer maneira. Muitos enfatizaram o fato de que foi Lapsus$ e não Okta quem contou ao mundo sobre o incidente, postando capturas de tela como prova no Telegram em março. Isso levantou mais do que algumas questões para a Okta sobre como eles estão lidando com a violação conhecida de meses.
A ironia é que a Okta, como uma importante provedora de identidade e gerenciamento de acesso, está no mercado para impedir o tipo de ataque que atingiu seu antigo provedor de suporte, a Sitel. McKinnon disse que a empresa não usou o produto Okta ou autenticação multifator nas contas VPN e Office 365 do engenheiro comprometido. Isso os deixou vulneráveis a ataques.
O ataque e o processo
A Okta se esforçou muito para garantir que o produto e a plataforma da Okta sejam seguros e que os funcionários da Okta trabalhem em ambientes seguros. A organização de apoio externo estava em um anel diferente fora dela. Okta diz autocriticamente que deveria ter sido verificado se o acesso é seguro.
Desde então, a Okta encerrou relações comerciais com o provedor de suporte Sitel. Como parte da investigação, a Okta contratou uma empresa forense para realizar uma avaliação completa da violação de segurança. A partir disso, ficou claro que o invasor originalmente invadiu por meio de um gateway VPN, que não tinha autenticação multifator. Depois disso, o Lapsus$ interveio e explorou várias vulnerabilidades do Windows para mover e escalar privilégios. Eles também conseguiram entrar no Office 365 - porque, novamente, ele não tinha autenticação multifator.
A entrevista completa com declarações adicionais de Todd McKinnon, cofundador e CEO da Okta está disponível no portal Protocol.
Kasperky já analisou o ataque mais a fundo.
Mais em Protocol.com