Okta dice di non essere stato hackerato, mentre LAPSUS$ dice che stanno mentendo

David Bradbury, Direttore della sicurezza di Okta, ha annunciato sul sito web ufficiale che l’azienda non ha subito alcuna violazione della sicurezza e, pertanto, i suoi clienti non dovrebbero intraprendere alcuna azione. Questo annuncio è avvenuto questa mattina, quando il gruppo di hacker ha affermato di aver effettuato l’accesso ai propri sistemi come super utente/amministratore.

Tutto molto normale, finché non ricordiamo che abbiamo detto che le dichiarazioni di vulnerabilità provenivano dal gruppo di hacker LAPSUS$ che è riuscita a sottrarre informazioni riservate ad aziende come Nvidia, Samsung, LG, Microsoft o Vodafone, per le quali lo stesso gruppo di hacker ha risposto all’azienda indicando che la sicurezza è davvero fallita e che dovrebbero smettere di mentire.

Prima di tutto, è meglio leggere il comunicato stampa pubblicato da Okta:

“Il servizio di Okta non è stato compromesso e rimane pienamente operativo. Non ci sono azioni correttive da intraprendere da parte dei nostri clienti.

Nel gennaio 2022, Okta ha rilevato un tentativo fallito di compromettere l’account di un tecnico dell’assistenza clienti che lavorava per un fornitore di terze parti. Come parte delle nostre normali procedure, abbiamo avvisato il provider della situazione, interrompendo anche le sessioni Okta attive dell’utente e sospendendo l’account della persona. A seguito di queste azioni, abbiamo condiviso informazioni rilevanti (inclusi indirizzi IP sospetti) per integrare la tua indagine, che è stata supportata da un’azienda forense di terze parti.

Dopo il completamento dell’indagine del fornitore di servizi, questa settimana abbiamo ricevuto un rapporto dalla società forense. Il rapporto ha evidenziato che c’era una finestra temporale di cinque giorni tra il 16 e il 21 gennaio 2022, in cui un aggressore ha ottenuto l’accesso al laptop di un ingegnere di supporto. Questo corrisponde agli screenshot di cui siamo stati informati ieri.

Il potenziale impatto sui clienti Okta è limitato all’accesso di cui dispongono i tecnici dell’assistenza. Questi ingegneri non possono creare o eliminare utenti o scaricare i database dei clienti. I tecnici dell’assistenza hanno accesso a dati limitati, come ticket Jira ed elenchi di utenti, che sono stati visualizzati negli screenshot. I tecnici dell’assistenza possono anche aiutare a reimpostare le password degli utenti e i fattori di autenticazione a più fattori, ma non possono ottenere tali password.

Continuiamo a indagare attivamente, inclusa l’identificazione e il contatto con i clienti che potrebbero essere stati interessati. Non vi è alcun impatto sui client Auth0 e non vi è alcun impatto sui client HIPAA e FedRAMP.

Prendiamo molto seriamente la nostra responsabilità di proteggere e proteggere le informazioni dei nostri clienti. Siamo profondamente impegnati nella trasparenza e comunicheremo ulteriori aggiornamenti non appena saranno disponibili”.

A seguito del comunicato stampa, il gruppo di hacker ha risposto come segue:

Mi piacciono le bugie che dà Okta.

1. Non abbiamo compromesso nessun laptop? Era un laptop sottile.

Due. “Okta ha rilevato un tentativo fallito di compromettere l’account di un tecnico dell’assistenza clienti che lavora per un fornitore di terze parti”. “Non sono ancora sicuro di come sia un tentativo fallito.”

3. L’accesso al portale per super utenti con la possibilità di reimpostare la password e l’autenticazione a più fattori per circa il 95% dei clienti non riesce?

Quattro. Per un’azienda che sostiene Zero-Trust. *Gli ingegneri di supporto* sembrano avere un accesso eccessivo a Slack? 8.6k canali? (Potresti voler cercare AKIA* nel tuo Slack, piuttosto è una cattiva pratica di sicurezza archiviare le chiavi AWS nei canali Slack ?)

5. I tecnici dell’assistenza possono anche facilitare la reimpostazione delle password degli utenti e dei fattori MFA, ma non possono ottenere tali password. -Ehm? Spero che nessuno possa leggere le password… non solo i tecnici dell’assistenza, LOL. – Stai insinuando che le password siano memorizzate in testo normale?-

6. Stai sostenendo che un laptop è stato compromesso? In tal caso, quali *indirizzi IP sospetti* devi segnalare?

7. Il potenziale impatto sui clienti Okta NON è limitato, sono abbastanza sicuro che reimpostare le password e l’autenticazione a più fattori comporterebbe una compromissione completa dei sistemi di molti clienti.

8. Se ti impegni per la trasparenza, che ne dici di assumere un’azienda come Mandiant e pubblicare il loro rapporto? Sono sicuro che sarebbe molto diverso dal tuo rapporto 🙂

______________________________________________________________________________________________________________________________________________________________________________________________________________________________________________
https://www.okta.com/sites/default/files/2021-12/okta-security-privacy-documentation.pdf

*ventuno. Gestione delle violazioni della sicurezza.

a) Notifica: in caso di violazione della sicurezza, Okta informa i clienti interessati della violazione della sicurezza. Okta collabora con la ragionevole richiesta di informazioni da parte di un cliente interessato su tale violazione della sicurezza e Okta fornisce aggiornamenti regolari su qualsiasi violazione della sicurezza e sulle azioni investigative e correttive intraprese.

Ma i clienti lo hanno scoperto oggi? Perché aspettare così tanto?

9. Controlli di accesso. Okta dispone di politiche, procedure e controlli logici volti a:

B. Controlli per garantire che tutto il personale Okta a cui è consentito l’accesso ai Dati del Cliente si basi sui principi del privilegio minimo;

kkkkkkkkkkkkk

1. Norme di sicurezza. L’ISMP di Okta include la conformità e il test regolari dei controlli, dei sistemi e delle procedure chiave dell’ISMP per convalidare che siano implementati correttamente ed efficaci nell’affrontare le minacce e i rischi identificati.

Tali test includono:
a) valutazioni interne del rischio;
b) certificazioni ISO 27001, 27002, 27017 e 27018;
c) le linee guida del NIST; e…
d) audit SOC2 Tipo II (o standard successivo) effettuati annualmente da revisori esterni accreditati (“Rapporto di audit”).

Non credo che la memorizzazione delle chiavi AWS all’interno di Slack soddisfi nessuno di questi standard?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.