A Okta está investigando uma suposta violação de dados de seus clientes feita pelo grupo de extorsão de dados Lapsus$.
A Okta, fornecedora líder de serviços de autenticação e soluções de gerenciamento de identidade e acesso (IAM) diz que está investigando alegações de violação de dados.
Okta está investigando uma suposta violação de dados de seus clientes
Na terça-feira, o grupo de extorsão de dados Lapsus$ postou capturas de tela em seu canal Telegram do que alega ser acesso aos consoles administrativos de back-end e dados de clientes da Okta.
Como uma empresa de capital aberto com valor superior a US$ 6 bilhões, a Okta emprega mais de 5.000 pessoas em todo o mundo e fornece gerenciamento de identidade e serviços de autenticação para grandes organizações, incluindo Siemens, ITV, Pret a Manger, Starling Bank, entre outras.
O grupo de extorsão de dados Lapsus$ afirma ter adquirido acesso de “superusuário/administrador” ao Okta.com e que acessou os dados do cliente do Okta, conforme visto pelo BleepingComputer:
“Okta está ciente dos relatórios e está investigando”, disse um porta-voz do Okta ao BleepingComputer.
“Vamos fornecer atualizações à medida que mais informações estiverem disponíveis.”
As capturas de tela compartilhadas por Lapsus$, vistas pelo BleepingComputer, mostram a data do sistema definida para 21 de janeiro de 2022, indicando que o hack pode ter ocorrido meses atrás.
Uma das capturas de tela exibindo o acesso de ‘superusuário’ do Lapsus$ ao console de administração do Okta também inclui uma URL com um e-mail pertencente a um representante de suporte ao cliente do Okta que provavelmente foi comprometido.
O cofundador e CEO da Okta, Todd McKinnon, confirmou isso:
In late January 2022, Okta detected an attempt to compromise the account of a third party customer support engineer working for one of our subprocessors. The matter was investigated and contained by the subprocessor. (1 of 2)
— Todd McKinnon (@toddmckinnon) March 22, 2022
“Acreditamos que as capturas de tela compartilhadas online estão conectadas a este evento de janeiro.”, diz McKinnon.
“Com base em nossa investigação até o momento, não há evidências de atividade maliciosa em andamento além da atividade detectada em janeiro.”
No entanto, uma das capturas de tela postadas indica que o Lapsus$ pode alterar as senhas dos clientes usando o painel de administração do Okta.
Os pesquisadores de segurança estão preocupados que o grupo de hackers possa ter usado esse acesso de ‘superusuário’ como forma de violar os servidores do cliente que usam as soluções de autenticação da empresa.
Oh man, if this it what it looks (Okta got popped)… Blue Team everywhere is gonna be crazy busy. pic.twitter.com/PY4dIzfwvM
— _MG_ (@_MG_) March 22, 2022
A Lapsus$ também reforçou essa teoria quando disseram que não atacaram a Okta para roubar os bancos de dados da empresa, mas sim para atingir seus clientes.
“ANTES QUE AS PESSOAS COMEÇAM A PERGUNTAR: NÃO ACESSAMOS/ROUBAMOS NENHUM BANCO DE DADOS DA OKTA – nosso foco era SOMENTE em clientes okta”, afirmou Lapsus$ em um post no Telegram.
Com muitas empresas conhecidas usando os serviços da Okta, incluindo Fedex, Peloton, SONOS, T-Mobile, Hewlett Packard Enterprise e JetBlue, isso obviamente é uma preocupação significativa.
O desenvolvimento segue as alegações da Lapsus$ de que violou o servidor interno do Azure DevOps da Microsoft.
Na segunda-feira, Lapsus$ vazou o que afirma ser 37 GB de código-fonte roubado para Bing, Cortana e outros projetos da Microsoft, e a Microsoft confirmou que estava investigando.
Além disso, o grupo afirmou hoje que violou a LG Electronics (LGE) pela “segunda vez” em um ano. O site BleepingComputer não confirmou essa afirmação e entrou em contato com a LG:
O Lapsus$ vazou anteriormente gigabytes de dados proprietários supostamente roubados de empresas líderes como Samsung, NVIDIA e Mercado Livre, que confirmaram este mês que sofreram uma violação.
Grupos de extorsão de dados como as vítimas de violação do Lapsus$, mas ao contrário de criptografar arquivos confidenciais como um operador de ransomware faria, esses atores roubam e mantêm os dados proprietários das vítimas e os publicam caso suas demandas de extorsão não sejam atendidas.
Se as alegações da Lapsus$ de violar os sistemas da Okta forem precisas, ainda não se sabe quantos clientes da Okta foram impactados e em que medida.