Okta sÀger att Lapsus$-intrÄnget varade i 25 minuter och pÄverkade tvÄ kunder

Okta sÀger att Lapsus$-intrÄnget varade i 25 minuter och pÄverkade tvÄ kunder


Okta sa i tisdags att en kriminalteknisk undersökning som den bestÀllt fann att hackergruppen Lapsus$ fick tillgÄng till tvÄ aktiva kundhyresgÀster under januari-intrÄnget mot ett tredjepartssupportföretag.

Hotaktören “kontrollerade aktivt” en arbetsstation som tillhörde en ingenjör pĂ„ supportföretaget Sitel i 25 minuter i följd den 21 januari, under vilken tid den fick tillgĂ„ng till de tvĂ„ kunderna, sa Okta i ett blogginlĂ€gg.

Även om Okta tidigare sagt att sĂ„ mĂ„nga som 366 kunder kan ha pĂ„verkats av intrĂ„nget, pekar resultaten frĂ„n den nya utredningen pĂ„ att den faktiska effekten Ă€r “betydligt mindre Ă€n den maximala potentiella pĂ„verkan som Okta initialt delade.”

Fynden baseras pĂ„ en ”grundig utredning [by] vĂ„ra interna sĂ€kerhetsexperter, sĂ„vĂ€l som ett globalt erkĂ€nt cybersĂ€kerhetsföretag som vi anlitade för att ta fram en kriminalteknisk rapport, sĂ€ger Okta.

Identitets- och Ätkomsthanteringsföretaget sa att detta avslutar sin utredning av intrÄnget.

Under den 25 minuter lĂ„nga tidsperioden “gick hotaktören Ă„t tvĂ„ aktiva kundhyresgĂ€ster i SuperUser-applikationen (som vi har meddelat separat), och tittade pĂ„ begrĂ€nsad ytterligare information i vissa andra applikationer som Slack och Jira som inte kan anvĂ€ndas för att utföra Ă„tgĂ€rder i Okta kundhyresgĂ€ster”, sa Okta.

Företaget specificerade inte vilka Ă„tgĂ€rder som vidtogs av Lapsus$ nĂ€r det nĂ„dde de tvĂ„ kunderna, men noterade flera saker som hotaktören inte gjorde under den perioden. “Hotaktören kunde inte framgĂ„ngsrikt utföra nĂ„gra konfigurationsĂ€ndringar, MFA- eller lösenordsĂ„terstĂ€llningar, eller kundsupport-“imitation”-hĂ€ndelser,” sa Okta i inlĂ€gget. “Hotaktören kunde inte autentisera direkt till nĂ„gra Okta-konton.”

Resultaten som visar att Lapsus$-intrÄnget var begrÀnsat till den 21 januari stÄr i kontrast till det ursprungliga avslöjandet, baserat pÄ en kriminalteknisk rapport bestÀlld av Sitel, som antydde att angriparen hade tillgÄng till en supportteknikers bÀrbara dator frÄn 16-21 januari.

LÄngsamt att avslöja?

Okta avslöjade inte hÀndelsen förrÀn den 22 mars, och först dÄ som svar pÄ att Lapsus$ publicerade skÀrmdumpar pÄ Telegram som bevis pÄ intrÄnget. Avsaknaden av omedelbar avslöjande vÀckte en debatt i cybersÀkerhetsgemenskapen, dÀr vissa kritiserade leverantören för dess hantering av intrÄnget.

Okta sa till slut att de “gjorde ett misstag” i sitt svar pĂ„ incidenten och “bör ha mer aktivt och kraftfullt tvingat fram information” om vad som intrĂ€ffade i intrĂ„nget.

I blogginlĂ€gget pĂ„ tisdagen sa Okta att det inser “hur viktigt det Ă€r att vidta Ă„tgĂ€rder för att Ă„teruppbygga förtroendet inom vĂ„r bredare kundbas och ekosystem.”

“Slutsatserna frĂ„n den slutliga kriminaltekniska rapporten minskar inte vĂ„r beslutsamhet att vidta korrigerande Ă„tgĂ€rder utformade för att förhindra liknande hĂ€ndelser och förbĂ€ttra vĂ„r förmĂ„ga att reagera pĂ„ sĂ€kerhetsincidenter,” sa Okta. “Det börjar med att se över vĂ„ra sĂ€kerhetsprocesser och driva pĂ„ för nya sĂ€tt att pĂ„skynda uppdateringar frĂ„n tredje part och internt för potentiella problem, bĂ„de stora och smĂ„. Vi kommer att fortsĂ€tta arbeta med att bedöma potentiella risker och vid behov kommunicera med vĂ„ra kunder sĂ„ snabbt vi kan.”

VentureBeats uppdrag ska vara ett digitalt stadstorg för tekniska beslutsfattare att fÄ kunskap om transformativ företagsteknologi och handla. LÀs mer om medlemskap.