أكدت Okta ، وهي شركة مصادقة تستخدمها آلاف الشركات حول العالم ، أن المهاجم سيتمكن من الوصول إلى أحد أجهزة الكمبيوتر المحمولة لموظفيها لمدة خمسة أيام في يناير 2022 – لكنها تقول إن خدمتها “لم تنتهك وتعمل بكامل طاقتها”.
يأتي هذا الكشف عندما نشرت مجموعة القرصنة Lapsus $ لقطات شاشة لأنظمة Okta الداخلية ، بما في ذلك قنوات Okta المرنة وأخرى بواجهة Cloudflare ، على قناة Telegram الخاصة بها.
قد يؤدي أي اختراق من قبل Okta إلى تغييرات كبيرة في الشركات والجامعات والوكالات الحكومية التي تعتمد على Okta للسماح بوصول المستخدم إلى الأنظمة الداخلية.
ولكن في بيان ظهر الثلاثاءيقول Okta الآن إن المهاجم لن يتمكن من الوصول إلا إلى فترة الخمسة أيام تلك – إلى الحد الذي تقول فيه الشركة “لا توجد إجراءات تصحيحية يتخذها عملاؤنا”.
يقول ديفيد برادبري ، كبير مسؤولي الأمن في أوكتا ، إن أحد مهندسي الدعم ليس في خطر عند تعرضه للخطر:
التأثير الوحيد المحتمل على عملاء Okta هو الوصول إلى مهندسي الدعم الحاليين. لم يتمكن هؤلاء المهندسون من إنشاء المستخدمين أو حذفهم أو تنزيل قواعد بيانات العميل. يتمتع المهندسون المدعومون بإمكانية الوصول إلى بيانات محدودة – على سبيل المثال ، تذاكر Gira وقوائم المستخدمين – كما هو موضح في لقطات الشاشة. يمكن لمهندسي الدعم إعادة تعيين كلمات المرور وتسهيلها MFA عوامل للمستخدمين ، ولكن لا يمكن استرداد كلمات المرور هذه.
ادعى فريق القرصنة Lapsus $ ، الذي كتب على قناة Telegram الخاصة به ، أنه كان لديه وصول “مستخدم متميز / مشرف” على أنظمة Okta لمدة خمسة أشهر فقط ، وليس فقط خمسة أشهر ، وكان بإمكانه الوصول إلى عميل أرق من جهاز كمبيوتر محمول. وجدت Okta تخزين مفاتيح AWS على قنوات Slack. أوصت اللجنة أيضًا باستخدام وصول صفر إلى عملاء Okta. صحيفة وول ستريت جورنال ملاحظات قالت أوكتا في تقرير حديث لها إن لديها أكثر من 15000 عميل في جميع أنحاء العالم. تسرد Peloton و Sonos و T-Mobile و FCC كعملاء على موقعها على الإنترنت.
في تقرير سابق أرسل إلى على الحافةوقال المتحدث باسم أوكتا كريس هوليس إنه لا يوجد دليل على أن الشركة واصلت تنفيذ الهجوم. “في أواخر كانون الثاني (يناير) 2022 ، اكتشفت Okta محاولة اختراق حساب مهندس دعم عملاء تابع لجهة خارجية يعمل على أحد معالجاتنا الفرعية. يتم التحقيق في هذه المشكلة بواسطة المعالج الفرعي. قال هوليس. “نأمل أن تكون لقطات الشاشة التي تمت مشاركتها عبر الإنترنت مرتبطة بحدث يناير”.
وتابع هوليس: “بناءً على التحقيق الذي أجريناه حتى الآن ، لا يوجد دليل على نشاط ضار يتجاوز النشاط المكتشف في يناير”. لكن مرة أخرى ، الكتابة على قناة Telegram الخاصة بهم ، يوصى بـ Lapsus $ كان لديه وصول لبضعة أشهر.
هذه هي محاولتنا الثالثة لمشاركة صورة من الخامسة إلى الثامنة. LAPSUS $ لقد أخفقنا في تدقيق بعض المعلومات المهمة و / أو معلومات المستخدم التي تم عرضها.
الصور 5-8 مرفقة أدناه. pic.twitter.com/KGlI3TlCqT
– vx-Underground (vxunderground) 22 مارس 2022
Lapsus $ هي مجموعة قرصنة مسؤولة عن العديد من الحوادث البارزة التي تؤثر على نصفها نفيدياو سامسونجو مايكروسوفتو يوبيسوفتسرقة أحيانًا مئات الجيجابايت من البيانات السرية.
تقول Okta إنها علقت جلسات Okta لمهندس الدعم لديها وعلقت الحساب في يناير ، لكنها لم تتلق سوى تقرير نهائي من وكالة الطب الشرعي هذا الأسبوع.
تحديث ، 2:38 مساءً بالتوقيت الشرقي: أضاف تقرير Okta أن الاختراق كان منخفضًا للغاية ولم يتم اتخاذ أي إجراء مناسب.
تحديث ، 2:58 مساءً بالتوقيت الشرقي: أضافت Laps مجموعة من المتسللين بالدولار الأمريكي تفيد بأن لديها إمكانية الوصول إلى عملاء أرق من أجهزة الكمبيوتر المحمولة ، وأن Okta عثرت على مفاتيح AWS مخزنة على قنوات Slack.