微软与Okta都坦承遭到黑客集团Lapsus$入侵

曾成功入侵Nvidia与三星的黑客集团Lapsus$近日通过其Telegram频道对外声称,已入侵微软系统,并取得了37GB涉及微软产品源码的文件,另也握有身份暨访问管理企业Okta的管理员访问权限。微软已证实Lapsus$的确借由危害一名员工的身份而进入系统,而Okta则承认一名第三方支持工程师的账号曾在今年1月被危害。

Lapsus$黑客集团主要入侵企业网络并窃取重要资讯以向受害者勒索,并未于企业内部环境部署勒索软件,该集团曾盗走Nvidia的1TB资料,包括驱动程序与固件源码,也已公布7.1万名Nvidia员工资料及2个Nvidia的程序代码签章凭证;之后再宣称取得了三星的内部资料,涵盖硬件安全模块、源码、验证三星服务账号的程序代码及生物识别算法等。

微软指出,在Lapsus$对外宣称已成功入侵微软之后,该公司立即展开调查,显示只有一个具备有限访问权限的账号遭到入侵,除了迅速修复该受损账号之外也采取了预防行动。微软强调,黑客得以查看源码并不会让风险升高,且客户的程序代码或资料并未外泄。

不过,微软并未证实或公布遭窃的文件规模。

另一方面,Okta则说该公司是在今年1月发现有一名第三方的客户支持工程师的账号被危害,强调Okta服务并未被入侵,客户无需采取任何行动。

根据Okta的说法,当发现到第三方工程师的账号被入侵之后,已立即通知该企业,同时终止该名用户的Okta期间与他的个人账号,并委由第三方鉴识机构展开调查。调查显示黑客是在1月16日至1月21日间访问了该名工程师的笔记本,因此受黑范围仅限于该名工程师所能访问的内容,包含用户名单与JIRA Ticket,其权限则是替用户重置密码与多因素身份认证,但无法添加或删除用户,也无法下载客户数据库,也不能取得用户密码。

尽管Okta企图淡化该遭黑事件,但《福布斯》(Forbes)批评,负责管理1亿笔登录账号的Okta,竟然没能在发生安全意外的第一时间通知客户。

在内部使用Okta系统进行员工身份认证的Cloudflare则自行展开了调查,指出黑客所公布的文件的确含有该公司员工的电子邮件账号,而且可能已经启动密码重置功能。

Cloudflare也针对Okta的其它客户提出了建议,包括要求所有用户激活多因素身份认证,且最好使用实体密钥作为第二认证机制,以及确认在这期间所有的密码重置都是合法的,同时教育员工小心潜在的社交工程攻击。

发表评论