Μετά από μια παραβίαση των συστημάτων της τον Ιανουάριο, η Okta δημοσίευσε μια έκθεση που διαπιστώνει ότι η ομάδα απειλών Lapsus$ είχε πρόσβαση μόνο σε δύο ενεργούς πελάτες μέσω μιας τρίτης εταιρείας. Το Lapsus$ «ήλεγχε ενεργά» έναν σταθμό εργασίας που ανήκει σε μηχανικό της εταιρείας υποστήριξης Sitel για 25 λεπτά στις 21 Ιανουαρίου, είπε η εταιρεία.
«Ο παράγοντας της απειλής ήλεγχε ενεργά έναν μόνο σταθμό εργασίας, που χρησιμοποιούσε ένας μηχανικός υποστήριξης της Sitel, με πρόσβαση στους πόρους της Okta», έγραψε ο επικεφαλής ασφαλείας της Okta, Ντέιβιντ Μπράντμπερι. “Κατά τη διάρκεια αυτού του περιορισμένου χρονικού διαστήματος, ο παράγοντας απειλής είχε πρόσβαση σε δύο ενεργούς ενοικιαστές πελατών στην εφαρμογή SuperUser και είδε περιορισμένες πρόσθετες πληροφορίες σε ορισμένες άλλες εφαρμογές όπως το Slack και το Jira που δεν μπορούν να χρησιμοποιηθούν για την εκτέλεση ενεργειών σε ενοικιαστές πελατών Okta.”
Ενώ έγινε πρόσβαση μόνο σε δύο πελάτες, μπορεί να επηρεάστηκαν πολλοί περισσότεροι χρήστες, καθώς η Otka έχει 15.000 πελάτες αλλά πάνω από 100 εκατομμύρια μεμονωμένους χρήστες. Παρά την πρόσβαση, ωστόσο, το Lapsus$ δεν μπόρεσε να κάνει καμία επαναφορά MFA ή κωδικού πρόσβασης, αλλαγές διαμόρφωσης ή πλαστοπροσωπία υποστήριξης πελατών, είπε η Okta. “Ο ηθοποιός της απειλής δεν μπόρεσε να ελέγξει την ταυτότητα απευθείας σε οποιονδήποτε λογαριασμό της Okta.”
Η Okta χρειάστηκε δύο μήνες για να ενημερώσει τους πελάτες για την παραβίαση του Lapsus$ και τελικά δημοσίευσε μια δήλωση λέγοντας ότι “έκανε λάθος” στον τρόπο με τον οποίο χειρίστηκε τα πράγματα. Σε μια ανάρτηση ιστολογίου τον περασμένο μήνα, αποκάλυψε ότι το 2,5 τοις εκατό των πελατών της μπορεί να είχαν δει τα δεδομένα τους ή είχαν κάνει ενέργειες κατά τη διάρκεια ενός παραθύρου πέντε ημερών.
Τώρα φαίνεται ότι η παραβίαση ήταν πολύ πιο περιορισμένη σε εύρος, αλλά η Okta είπε ότι πήρε μαθήματα από την κατάσταση. Έλυσε τη σχέση της με τον εν λόγω ανάδοχο και υποσχέθηκε να ενισχύσει τις ελεγκτικές διαδικασίες για άλλους. Επίσης, πρόκειται να διαχειρίζεται απευθείας τις συσκευές τρίτων με πρόσβαση σε εργαλεία υποστήριξης πελατών, ώστε να μπορεί να ανταποκρίνεται πιο «αποτελεσματικά» σε περιστατικά. Τέλος, υιοθετεί νέα συστήματα που «μας βοηθούν να επικοινωνούμε πιο γρήγορα με τους πελάτες» σε θέματα ασφάλειας.