Büyük bir erişim yönetim sistemleri sağlayıcısı olan Okta, Lapsus$ grubu tarafından yapıldığı iddia edilen bir siber saldırıda müşterilerinin %2,5’inin yani yaklaşık 375 müşterinin etkilendiğini doğruladı.
Okta, ocak ayında bilgisayar korsanlarının destek mühendislerinden birinin dizüstü bilgisayarını hackleyerek müşteriler için parola sıfırlama işlemini başlatabilecek bir güvenlik olayı yaşadıklarını itiraf etti.
Tehdit aktörleri beş gün boyunca dizüstü bilgisayara erişim sağladı ve bu süre boyunca Okta’nın müşteri destek paneline ve şirketin Slack sunucusuna erişmeyi başardı.
Rapora göre, 16-21 Ocak 2022 tarihleri arasında saldırganın bir destek mühendisinin dizüstü bilgisayarına erişebildiği beş günlük bir zaman aralığı vardı.
Lapsus$ grubu, kullanıcıları listelemelerine, şifreleri sıfırlamalarına, MFA’yı sıfırlamalarına ve destek taleplerine erişmelerine izin veren “süper kullanıcı” ayrıcalıklarına sahip görünen bir Okta çalışanının e-posta adresini gösteren ekran görüntüleri yayınladı.
Ancak şirket, bu ihlal başarılı olduysa bile destek mühendislerinin sahip olduğu erişim miktarıyla sınırlı olacağını ve bunun da kullanıcı oluşturmayı veya silmeyi veya müşteri veritabanlarını indirmeyi başaramayacağını açıklıyor.
Okta, Lapsus$ siber saldırısı ile 375 kuruluşun hesaplarının ele geçirilmiş olabileceğini ve müşterilerinin yaklaşık %2,5’inin etkilendiğini doğruladı.
Şirket bu müşterileri belirledi ve onlarla doğrudan iletişim kuruyor.
Lapsus$’dan alınan ekran görüntülerine göre, bir Okta çalışanının hesabını ele geçiren bilgisayar korsanları tarafından şifresi sıfırlanmak üzere olan bir Cloudflare çalışanının e-posta adresi de var.
Cloudflare daha sonra, ekran görüntülerinde bulunan şirket e-posta hesabının, Güvenlik Olayı Müdahale Ekibi’nin olası bir sorunla ilgili ilk bildirimi almasından yaklaşık 90 dakika sonra askıya alındığını açıkladı.
Okta, üçüncü taraf bir sağlayıcı için çalışan bir müşteri destek mühendisinin hesabını ele geçirmeye yönelik başarısız bir girişimi tespit ettikten sonra ihlal girişiminden haberdar oldu.
Şirket, sorunu aynı anda sağlayıcıya bildirdi ve güvenliği ihlal edilen kullanıcının aktif oturumlarını sonlandırdı ve hesabını askıya aldı.
Okta’nın açıklamalarına yanıt olarak Lapsus$ grubu, bir Okta çalışanının dizüstü bilgisayarından değil, , thin client’lar üzerinde ihlalin gerçekleştirildiğini söyledi.
Lapsus$ çoğunlukla Samsung, NVIDIA, Ubisoft ve Mercado Libre gibi büyük şirketlerden çaldıkları özel verileri sızdırmasıyla bilinir. Ayrıca Microsoft‘un dahili Azure DevOps sunucusunu ihlal ettiklerini ve Bing, Cortana ve diğer Microsoft projeleri için olduğu iddia edilen 37 GB kaynak kodunu sızdırdıklarını iddia ettiler.
Kaynak: https://cybersafe.news/okta-confirm-breach-by-lapsus-extortion-group/
