Okta dice que una investigación rápida sobre el intercambio de capturas de pantalla que parecen mostrar una violación de datos ha revelado que se relacionan con un incidente de seguridad «contenido» que tuvo lugar en enero de 2022.
Okta, una empresa de gestión de acceso e identidad empresarial, inició una investigación después de que el grupo de piratas informáticos LAPSUS$ publicara capturas de pantalla en Telegram que, según los piratas informáticos, se tomaron después de obtener acceso a «Okta.com Superuser/Admin y varios otros sistemas».
Las imágenes se compartieron en Telegram y varias redes sociales esta semana.
«Para un servicio que impulsa los sistemas de autenticación de muchas de las corporaciones más grandes (y aprobado por FEDRAMP), creo que estas medidas de seguridad son bastante deficientes.[…]», dijo LAPSUS$. «Antes de que la gente comenzara a preguntar, no accedimos ni robamos ninguna base de datos de Okta; nuestro enfoque estaba solo en los clientes de Okta».
En un comunicado enviado por correo electrónico el martes, Okta dijo que las capturas de pantalla compartidas en línea «parecen estar conectadas a un evento de seguridad a fines de enero».
Okta dijo:
«A fines de enero de 2022, Okta detectó un intento de comprometer la cuenta de un ingeniero de atención al cliente externo que trabajaba para uno de nuestros subprocesadores. El subprocesador investigó y contuvo el asunto. Creemos que las capturas de pantalla compartidas en línea están conectadas a este enero evento.»
«Según nuestra investigación hasta la fecha, no hay evidencia de actividad maliciosa en curso más allá de la actividad detectada en enero», agregó Okta.
En un tuitel CEO de Cloudflare, Matthew Prince, agregó a la discusión, comentando:
«Somos conscientes de que Okta puede haberse visto comprometida. No hay evidencia de que Cloudflare se haya visto comprometida. Okta es simplemente un proveedor de identidad para Cloudflare. Afortunadamente, tenemos múltiples capas de seguridad más allá de Okta, y nunca las consideraríamos como una solución independiente». opción.»
Lapsus$ es un grupo de piratas informáticos que se ha elevado rápidamente en las filas supuestamente irrumpiendo en los sistemas de empresas de alto perfil, una tras otra, para robar información y amenazar con filtrarla en línea a menos que se realicen pagos de chantaje.
Las infracciones recientes relacionadas con el grupo incluyen las experimentadas por Samsung, Nvidia y Ubisoft.
El domingo, un captura de pantalla se compartió que sugería que podría haber ocurrido una supuesta violación de Microsoft, posiblemente a través de una cuenta de Azure DevOps, aunque la publicación se eliminó desde entonces. Microsoft está investigando.
Con sede en San Francisco, Okta es una empresa que cotiza en bolsa con miles de clientes, incluidos numerosos proveedores de tecnología. La empresa cuenta con FedEx, Moody’s, T-Mobile, JetBlue e ITV entre sus clientes.
«Lapsus$ es conocido por extorsionar, amenazando con divulgar información confidencial si sus víctimas no cumplen con las demandas», comentó Ekram Ahmed, vocero de Check Point. «El grupo se ha jactado de irrumpir en Nvidia, Samsung, Ubisoft y otros. La forma en que el grupo logró violar estos objetivos nunca ha estado completamente clara para el público. Si es cierto, la violación en Okta puede explicar cómo Lapsus $ ha podido lograr su objetivo. cadena reciente [of] éxitos».
Actualización 19.07GMT: Okta ha proporcionado más detalles sobre el incidente de ciberseguridad. En una declaración actualizada, el proveedor de tecnología dijo que «el servicio de Okta no ha sido violado y permanece en pleno funcionamiento. Nuestros clientes no deben tomar medidas correctivas».
Okta también dijo que durante el incidente de enero, la cuenta del ingeniero de atención al cliente afectada se suspendió rápidamente mientras una firma de ciberforense de terceros investigaba el problema.
«Tras la finalización de la investigación del proveedor de servicios, recibimos un informe de la firma forense esta semana», dijo Okta. «El informe destacó que hubo un período de tiempo de cinco días entre el 16 y el 21 de enero de 2022, en el que un atacante tuvo acceso a la computadora portátil de un ingeniero de soporte».
La empresa comentó:
«El impacto potencial para los clientes de Okta se limita al acceso que tienen los ingenieros de soporte. Estos ingenieros no pueden crear o eliminar usuarios, ni descargar bases de datos de clientes. Los ingenieros de soporte tienen acceso a datos limitados, por ejemplo, tickets de Jira y listas de usuarios, que se vieron en las capturas de pantalla. Los ingenieros de soporte también pueden facilitar el restablecimiento de contraseñas y factores de autenticación de múltiples factores para los usuarios, pero no pueden obtener esas contraseñas».
La investigación de Okta está en curso. La compañía agregó que no hay impacto para los clientes de Auth0, HIPAA o FedRAMP.
Actualización 7:39 am GMT 23/3: Okta ahora ha revisado su estimación para impactar potencialmente en el 2,5% de los clientes.
Cobertura anterior y relacionada
¿Tienes un consejo? Póngase en contacto de forma segura a través de WhatsApp | Señal al +447713 025 499, o más en Keybase: charlie0
