Okta Lapsus$ Saldırısını Doğruladı “Destek Personelimizin Bilgisayarı Hacklendi”

Okta, Lapsus$ veri hırsızlığı grubu tarafından iddia edilen bir siber saldırıdan %2,5 veya yaklaşık 375 müşterinin etkilendiğini doğruladı. Şirket, müşterilerinin alması gereken herhangi bir düzeltici önlemin bulunmadığını söyledi.

Saldırganlar 5 gün boyunca sistemde kaldılar

Okta, Ocak ayında saldırganların destek mühendislerinden birinin dizüstü bilgisayarını hackleyerek müşteriler için parola sıfırlama başlatabilecek bir güvenlik olayı yaşadıklarını doğruladı. Saldırganların beş gün boyunca dizüstü bilgisayara erişimleri olduğunu ve bu süre boyunca Okta’nın müşteri destek paneline ve şirketin Slack sunucusuna erişebildikleri bildirildi. Lapsus$ grubu tarafından yayınlanan ekran görüntülerinde, kullanıcıları listeleme, şifreleri sıfırlama, MFA’yı sıfırlama ve destek taleplerine erişmelerine izin veren ‘super users’ ayrıcalıklarına sahip Okta personelinin mail adresini açıkca görünüyor. Ancak şirket, destek personelinin kullandığı kullanıcının sınırlı erişimi olduğu ve bu da kullanıcı oluşturmayı silmeyi veya müşteri veritabanlarını indirmek gibi işlemleri yapamıyacağını belirtiyor.

Okta, müşterilerinin yaklaşık %2,5’inin Lapsus$ siber saldırısından etkilendiğini açıkladı. Okta’nın 15.000’den fazla müşterisi olduğu için bu, yaklaşık 375 kullanıcı hesabın ihlal edildi anlamına geliyor. Okta “Bu müşterileri belirledik ve onlarla doğrudan iletişime geçiyoruz. Bir Okta müşterisiyseniz ve etkilendiyseniz, doğrudan e-posta yoluyla zaten ulaştık” diye açıklama yapıyor.

Cloudflare tepki gösterdi

Lapsus$ tarafından yayınlanan ekran görüntünlerinde saldırganların, şifresini sıfırlanmaya çalıştıkları kişiler arasında bir cloudflare çalışanınında görülmesine tepki gösterdi. Cloudflare, çalışan hesaplarına yetkisiz erişim olasılığını ortadan kaldırmak için 1 Aralık 2021’den bu yana tüm parola sıfırlamalarını veya değiştirilmiş MFA’yı kontrol etti. Toplamda 144 hesap tespit edildi ve şirket bunların hepsinde parola sıfırlamayı zorunlu kıldı.

Lapsus$ cevap verdi

Okta’nın bugünkü açıklamalarına yanıt olarak, Okta çalışanının dizüstü bilgisayarından değil, thin client’lar üzerinde istismarının yapıldığını ima etti.. Bilgisayar korsanları, Okta’nın “müşterilerin %95’inin parolasını ve MFA sıfırlama işlemlerini süper kullanıcı ile portalda oturum açtıklarını” iddia etti.

Lapsus$ son olarak LG Electronics’te, şirketin sistemlerini bir yıl içinde ikinci kez hacklediklerini söylüyor.

Kaynak: bleepingcomputer.com

Exit mobile version