黑客集团Lapsus$在今年初连续入侵Nvidia、三星、Okta及微软,本周身份暨访问管理企业Okta公布了相关意外的调查结果,指出黑客真正取得控制权的时间只有25分钟,且只有两名客户的资料遭到访问。
Lapsus$入侵了了Okta第三方合作企业Sitel,取得了一名客户支持工程师的账号,在1月16日至1月21日间访问了该名工程师的笔记本,调查显示,该名工程师的账号在这5天的时间访问了365家Okta客户的资料,原本Okta已经作了最坏的打算,但进一步分析后发现,黑客真正访问Okta客户资料的时间并不长,而且也只访问了两家客户资料。
Okta说明,黑客是在1月21日才使用该工程师账号,而且只持续了25分钟,于SuperUser应用中访问了两家客户资料,并浏览这些客户的Slack与Jira等内容,这些举动并无法用来执行其它恶意行为,像是变更配置,或是重设双因素认证或密码等,也无法冒充Okta的客户支持,或是取得Okta的账号认证。
Lapsus$入侵微软的手法与入侵Okta如出一辙,同样是先取得一名微软员工的账号,再进一步访问微软的内部资源。
经过此次意外事件之后,Okta决定加强第三方合作伙伴的风险管理,包括确认第三方符合Okta对安全的要求,任何替Okta提供客户支持服务的企业都必须采行零信任安全架构,也必须采用Okta的IDAM解决方案来进行所有工作应用程序的身份认证,同时也宣布终止与Sitel的合作。
此外,未来Okta将直接管理所有访问该公司客户支持工具、来自第三方合作伙伴的所有设备,以让Okta能够直接控制并回应安全风险,而不完全依赖第三方企业。