身份验证及访问管理云计算方案商Okta上周五(3/25)坦承,1月间得知第三方厂商被黑事件,但没有继续追查,决策上确有疏失。
Lapsus$集团在接连公布了多家知名厂商包括Nvidia、三星、Vodafone、Ubisoft后,上周也公布微软及Okta的资料。根据黑客发布的系统截图,显示这是一个“Super User”应用。Okta说明起因在第三方企业Sitel服务工程师笔记本被黑,可是后果并不如黑客说的那么严重,即使客户资料被访问,也仅限于该名工程师能访问的客户资料,黑客无法添加或删除用户,或下载客户数据库。不过Okta也遭媒体批评未在1月通报。
Okta上周五说明事件发生经过。今年1月20日该公司安全团队发现Sitel的客户服务工程师的Okta账号被加入一项密码,显示可能遭变更密码。该公司宣称,虽然该工程师账号未成功被黑入,但为谨慎起见,他们仍然重设了这个账号,并通知Sitel。之后Sitel请来外部鉴识厂商调查分析。Okta于3月17日接获最终演示文稿,但5天后Lapsus$就公布了系统截图。Okta事发后于上周二(3/22)取得Sitel的完整调查报告,并对外界说明案情,强调该公司系统没有被黑,客户也无需采取任何行动。
但Okta仍坦承自己做了错误决策,Sitel是其服务供应商,Okta应负起最终责任。1月间他们并不知道Sitel的问题那么大,Okta仅预防账号被接管,并让Sitel自己去找第三方鉴识厂商来调查,而未想到对Okta和客户的风险。该公司坦承自己应该更主动,并要求Sitel提交更多资料。而从上周取得的证据来看,如果他们早点取得资料,应该会做出不同决定。
针对这起事件,Okta强调Lapsus$公布截图中的Super User应用程序只是内部Okta支持工具,仅供服务工程师基本的资讯访问,像是Jira工单或他负责的客户清单。Super User并不等同“superadmin”,无法访问所有用户资料,也无法添加或删除用户账号、下戴客户数据库。
Sitel的工程师有权限重设客户密码或多因素验证,但无法选择或取得密码。若攻击者要使用这个渠道来攻击目标用户,他必须另外取得该用户的电子邮件。
上周Okta证实有2.5%、即366家客户受到Lapsus$事件影响。该公司说已联系所有可能受影响的客户,未受影响的用户也接获通知。
Okta表示Sitel公司证实已解决问题,不过Okta仍持续调查,也使用Log及其他资料源来判断资料是否遭访问或外泄。
从Lapsus$ 3月22日公布资料以来,Okta股价已从170美元跌到138美元,跌幅达20%。