Okta touché par une attaque de piratage

Un groupe de piratage qui avait auparavant pris la responsabilité d’attaques contre Nvidia et Microsoft a affirmé lundi qu’il avait compromis Okta, qui fournit des services d’identité « single sign-on » à des milliers d’entreprises.Piloter l’actualité : Okta a confirmé mardi qu’il y avait eu un incident en janvier où des pirates informatiques avaient utilisé un employé du service clientèle employé par une société tierce pour obtenir un accès aux systèmes d’Okta.Pourquoi est-ce important: Okta est peu connu en dehors du secteur, mais il fournit une couche de sécurité de connexion à des centaines de millions d’utilisateurs dans un large éventail d’entreprises et d’organisations qui adoptent son système de connexion.

  • Selon la gravité de l’incident, difficile à évaluer à l’heure actuelle, les dégâts pourraient être étendus.

À noter: Comme le rapporte Wired, les experts en sécurité établissent déjà des comparaisons avec l’incident SolarWinds de fin 2020, au cours duquel des pirates informatiques soutenus par la Russie ont eu accès à un large éventail d’entreprises et d’agences gouvernementales.Des détails: Le groupe connu sous le nom de Lapsus$ a publié lundi soir des captures d’écran datées de janvier montrant qu’il avait accès au compte de support.

  • Le responsable de la sécurité d’Okta, David Bradbury, a publié mardi un article de blog, notant qu’un rapport médico-légal sur l’incident de janvier concluait « qu’il y avait une fenêtre de temps de cinq jours entre le 16 et le 21 janvier 2022, où un attaquant avait accès à l’ordinateur portable d’un ingénieur de support . »

Ce qu’ils disent : « Le service Okta n’a pas été violé et reste pleinement opérationnel. Aucune mesure corrective ne doit être prise par nos clients », lit-on dans le message de Bradbury.Oui mais: Nous ne savons pas encore quelles informations Lapsus$ a pu prendre pendant ces cinq jours, et ce que le groupe a pu en faire depuis.

  • Le type de compte d’assistance qui a été compromis, a écrit Bradbury, est « incapable de créer ou de supprimer des utilisateurs, ou de télécharger des bases de données clients ». Les ingénieurs de support peuvent « faciliter la réinitialisation des mots de passe et des facteurs d’authentification multifacteur pour les utilisateurs, mais ne peuvent pas obtenir ces mots de passe »

Les captures d’écran Lapsus$ postées mentionnait également l’infrastructure Web et la société de sécurité Cloudflare, qui utilise Okta en interne.

  • Le PDG de Cloudflare, Matthew Prince, a tweeté : « Il n’y a aucune preuve que Cloudflare a été compromis… Nous réinitialisons les informations d’identification @Okta de tous les employés qui ont changé leur mot de passe au cours des 4 derniers mois, par prudence. »

Rattrapez-vous vite : Lors d’incidents passés, Lapsus$ a tenté d’extorquer des sociétés en menaçant de publier du code source volé et d’autres types d’informations commerciales.

  • Lors d’une attaque très médiatisée qui a débuté le mois dernier, le groupe a publié des informations privées du géant de la conception de puces Nvidia et a menacé d’en publier davantage si la société ne lui envoyait pas de grosses sommes de crypto
  • Le groupe a également publié une partie du code qui exécute le moteur de recherche Bing de Microsoft et l’assistant personnel Cortana, dans un vidage d’environ 37 Go de données
  • Mardi, Microsoft a confirmé que le groupe avait eu accès au code après « qu’un seul compte ait été compromis, accordant un accès limité ».
  • « Microsoft ne s’appuie pas sur le secret du code comme mesure de sécurité et la visualisation du code source n’entraîne pas d’augmentation des risques », indique le rapport de sécurité de la société