Okta を侵害した Lapsus$:影響を受けたテナントは2件のみだった

Okta Says Security Breach by Lapsus$ Hackers Impacted Only Two of Its Customers

2022/04/19 TheHackerNews — この火曜日に、ID/アクセス管理プロバイダーの Okta は、Lapsus$ ギャングが 2022年1月下旬に引き起こした、サードパーティ・ベンダー侵入に関する調査を終了したと発表した。これまでに同社は、「このインシデントの影響は、潜在的な最大値よりも大幅に少ない」と述べていたが、当初想定されていた 366件というテナント数から、わずか2件へと減少したことを発表した。

このインシデントは、2022年1月21日にハッキング・グループ Lapsus$ が、Sitel のサポート・エンジニアが所有するワークステーションに、リモートから不正アクセスしたことで発生したものだ。しかし、それが公になったのは、敵対者が Okta の内部システムのスクリーンショットを、Telegram チャネルに投稿したときのことであり、ハッキングから約2カ月も経過していた。

Lapsus$ の声明は、基本的な管理機能を実行するために使用される、SuperUser アプリケーション内の2つのアクティブな顧客テナントにアクセスしたというものだ。それに加えて、このハッカーグループは Slack/Jira などの限られた追加情報を閲覧したと述べており、事前の報告と一致している。

Okta の CSO である David Bradbury は、「Lapsus$ による制御は、2022年1月21日に連続で 25分間続いた。この脅威アクターは、コンフィグレーション変更/MFA・パスワード・リセット/なりすましカスタマーサポーなどを、成功させることはできなかった。各種の Okta アカウントに対して、ダイレクトに驚異アクターが認証を得ることはできなかった」と述べている。

情報公開の遅れとインシデント対応において批判にさらされている Okta は、Sitel との契約を解消し、カスタマーサポート・ツール内でエンジニアが閲覧できる情報を、制限したと発表している。

文中にある Sitel ですが、”from banking and financial services to travel and hospitality” のレンジでビジネス・サポートを提供する企業のようです。おそらく、Okta のサードパーティである Sitel が、侵入経路になってしまったということなのでしょう。それにしても、Lapsus$ は強力な攻撃能力を持っていますね。

%d bloggers like this: