Le piratage d’Okta met des milliers d’entreprises en état d’alerte

Okta, une société d’authentification utilisée par des milliers d’organisations à travers le monde, a maintenant confirmé qu’un attaquant avait eu accès à l’un des ordinateurs portables de ses employés pendant cinq jours en janvier 2022, mais affirme que son service “n’a pas été piraté et reste pleinement opérationnel”.

La divulgation intervient alors que le groupe de piratage Lapsus$ a publié des captures d’écran sur sa chaîne Telegram prétendant être des systèmes internes d’Okta, dont une qui semble montrer les chaînes Slack d’Okta et une autre avec une interface Cloudflare.

Tout piratage d’Okta pourrait avoir des ramifications majeures pour les entreprises, les universités et les agences gouvernementales qui dépendent d’Okta pour authentifier l’accès des utilisateurs aux systèmes internes.

Mais dans un communiqué publié mardi après-midi, Okta déclare maintenant qu’un attaquant n’aurait eu qu’un accès limité pendant cette période de cinq jours – suffisamment limité pour que l’entreprise affirme “qu’il n’y a aucune action corrective à prendre par nos clients”.

Voici ce que dit le directeur de la sécurité d’Okta, David Bradbury, qui est et n’est pas en jeu lorsqu’un de ses ingénieurs de support est compromis :

L’impact potentiel sur les clients d’Okta est limité à l’accès dont disposent les ingénieurs de support. Ces ingénieurs sont incapables de créer ou de supprimer des utilisateurs, ou de télécharger des bases de données clients. Les ingénieurs de support ont accès à des données limitées – par exemple, les tickets Jira et les listes d’utilisateurs – qui ont été vues dans les captures d’écran. Le support est également en mesure de faciliter la réinitialisation des mots de passe et des facteurs MFA pour les utilisateurs, mais n’est pas en mesure d’obtenir ces mots de passe.

Écrivant dans sa chaîne Telegram, le groupe de piratage Lapsus$ affirme avoir eu un accès «superutilisateur/administrateur» aux systèmes d’Okta pendant deux mois, pas seulement cinq jours, qu’il avait accès à un client léger plutôt qu’à un ordinateur portable, et affirme qu’il trouvé Okta stockant les clés AWS dans les canaux Slack. Le groupe a également suggéré qu’il utilisait son accès pour se concentrer sur les clients d’Okta. Le journal de Wall Street note que dans un dossier récent, Okta a déclaré avoir plus de 15 000 clients dans le monde. Il répertorie les goûts de Peloton, Sonos, T-Mobile et la FCC en tant que clients sur son site Web.

Dans une déclaration antérieure envoyée à Le bord, le porte-parole d’Okta, Chris Hollis, a déclaré que la société n’avait trouvé aucune preuve d’une attaque en cours. “Fin janvier 2022, Okta a détecté une tentative de compromission du compte d’un ingénieur de support client tiers travaillant pour l’un de nos sous-traitants. L’affaire a fait l’objet d’une enquête et a été maîtrisée par le sous-traitant. dit Hollis. “Nous pensons que les captures d’écran partagées en ligne sont liées à cet événement de janvier.”

“Sur la base de notre enquête à ce jour, il n’y a aucune preuve d’activité malveillante en cours au-delà de l’activité détectée en janvier”, a poursuivi Hollis. Mais encore une fois, écrivant dans leur chaîne Telegram, Lapsus$ suggéré qu’il avait accès pendant quelques mois.

Lapsus$ est un groupe de piratage qui a revendiqué la responsabilité d’un certain nombre d’incidents très médiatisés affectant Nvidia, Samsung, Microsoftet Ubisoft, volant dans certains cas des centaines de gigaoctets de données confidentielles.

Okta dit avoir mis fin aux sessions Okta de son ingénieur de support et suspendu le compte en janvier, mais affirme n’avoir reçu le rapport final de sa société de criminalistique que cette semaine.

Mise à jour, 14h38 HE : Ajout de la déclaration d’Okta et des affirmations selon lesquelles le piratage était très limité, sans aucune mesure corrective à prendre.

Mise à jour, 14 h 58 HE : Ajout de l’affirmation du groupe de hackers Lapsus$ selon laquelle il avait accès à un client léger plutôt qu’à un ordinateur portable, qu’il a trouvé Okta stockant des clés AWS dans des canaux Slack.

Leave a Comment