Okta: Lapsus$ попыталась взломать ноутбук инженера службы поддержки в январе

Примерно 375 клиентов (2.5%) компании Okta предположительно пострадали от кибератаки вымогательской группировки Lapsus$. Представитель компании Okta подтвердил , что в январе нынешнего года хакеры попытались взломать ноутбук одного из инженеров службы поддержки.

Как показали результаты расследования киберинцидента, злоумышленники имели доступ к ноутбуку в период с 16 по 21 января 2022 года, в течение которых они могли получить доступ к панели поддержки клиентов Okta и Slack-серверу компании.

Скриншоты, ранее опубликованные Lapsus$, показывают адрес электронной почты сотрудника Okta, у которого, по-видимому, были привилегии «суперпользователя» для составления списка пользователей, сброса паролей, сброса MFA и доступа к запросам в службу поддержки.

«Инженеры службы поддержки имеют доступ к ограниченным данным, например, тикетам Jira и спискам пользователей, которые были видны на скриншотах. Инженеры службы поддержки также могут облегчить сброс паролей и многофакторной аутентификации для пользователей, но не могут получить эти пароли», — пояснили в Okta.

На скриншотах Lapsus$ также есть адрес электронной почты сотрудника Cloudflare, пароль которого собирались сбросить хакеры, взломавшие учетную запись сотрудника Okta. Как сообщили специалисты Cloudflare, данная учетная запись электронной почты компании была заблокирована примерно через 90 минут после того, как ее Группа реагирования на инциденты безопасности (SIRT) получила первое уведомление о потенциальной проблеме.

Cloudflare отметила, что сервисы Okta используются внутри компании для идентификации сотрудников, интегрированной в стек аутентификации, и ее клиентам не о чем беспокоиться, «если только они сами не используют Okta». С целью исключить любую возможность несанкционированного доступа к своим учетным записям сотрудников, Cloudflare проверила все сбросы паролей или изменения MFA с 1 декабря 2021 года.

В ответ на заявления Okta группировка Lapsus$ поделилась своей частью истории. По словам преступников, они скомпрометировали не ноутбук сотрудника Okta, а их тонкий клиент (низкопроизводительную систему, которая удаленно подключается к виртуальной среде для выполнения задач). Хакеры оспаривают утверждение Okta о том, что взлом не увенчался успехом. По их утверждениям, они «зашли на портал суперпользователя с возможностью сбросить пароль и MFA примерно 95% клиентов».