Компания Okta, являющаяся крупным поставщиком систем управления доступом и идентификацией, подтверждает, что была взломана хакерской группой Lapsus$. Сообщается, что от этой атаки пострадали примерно 2,5% клиентов Okta.

Взлом Okta

Вчера в Telegram-канале Lapsus$ появилось сообщение о взломе, подкрепленное скриншотами того, что хакеры имели доступ к серверным административным консолям Okta и данным клиентов компании.

Хакеры заявили, что им удалось получить доступ superuser/admin на Okta.com, а затем и к данным клиентов. При этом дата на скриншотах – 21 января 2022 года, то есть сам взлом произошел еще несколько месяцев тому назад.

На одном из обнародованных скриншотов был замечен URL-адрес с адресом электронной почты, который действительно принадлежал представителю службы поддержки Okta, который, судя по всему, и был скомпрометирован. Глава Okta Тодд Маккиннон вскоре подтвердил эту информацию в Twitter.

«Мы считаем, что опубликованные в интернете скриншоты связаны с этим январским инцидентом, — пишет Маккиннон. — Наше расследование показывает, что на сегодняшний день нет никаких доказательств продолжающейся вредоносной активности, помимо активности, уже обнаруженной нами в январе».

Другой скриншот показывал, что участники Lapsus$ могли менять пароли клиентов через панель управления Okta. Это серьезно обеспокоило ИБ-экспертов, ведь, по сути, хак-группа могла использовать этот доступ для взлома серверов клиентов, которые используют решения Okta для аутентификации.

Хуже того, в своем посте сами хакеры подтверждают, что они не похищали у компании БД и другую информацию, а вместо этого сосредоточились исключительно на ее клиентах. Так как клиентами Okta являются многие известные компании и организации, включая Fedex, Peloton, SONOS, T-Mobile, Hewlett Packard Enterprise и JetBlue, Siemens, ITV, Pret a Manger, Starling Bank и так далее, опасения ИБ-экспертов вполне понятны.

Согласно официальному заявлению Okta, атака действительно имела место еще в январе текущего года и затронула только 2,5% (примерно 375 компаний) клиентов. Оказывается, в период с 16 по 21 января 2022 года хакеры взломали ноутбук инженера службы поддержки компании. Это вполне согласуется с приведенными хак-группой скриншотами: сотрудник имел доступ к панели поддержки клиентов Okta и Slack-серверу компании, мог составлять список пользователей, сбрасывать пароли, сбрасывать МФА и имел доступ к запросам в службу поддержки.

«Инженеры службы поддержки имеют доступ к ограниченным данным — например, тикеты Jira и списки пользователей — которые видны на скриншотах. Инженеры службы поддержки также могут облегчить сброс паролей и многофакторной аутентификации для пользователей, но не могут получить их пароли», — успокаивают в Okta и подчеркивают, что инженер поддержки не мог создавать и удалять пользователей, а также загружать клиентские БД.

Интересно, что в ответ на это заявление Okta члены Lapsus$ сообщили, что они скомпрометировали не ноутбук сотрудника, а тонкий клиент (thin client). Также хакеры оспаривают утверждение Okta о том, что в целом взлом не увенчался успехом, утверждая, что они «зашли на портал [от имени] суперпользователя с возможностью сбросить пароль и МФА для ~95% клиентов».

Cloudflare

Помимо прочего на опубликованных скриншотах был виден email сотрудника Cloudflare, пароль которого собирались сбросить хакеры. В итоге на утечку была вынуждена отреагировать и сама компания Cloudflare.

Официальное заявление гласит, что эта учетная запись была заблокирована примерно через 90 минут после того, как группа реагирования на инциденты получила первое уведомление о потенциальной проблеме 22 марта.

«На снимке экрана, размещенном в социальных сетях, был виден адрес электронной почты сотрудника Cloudflare, а также всплывающее окно, указывающее, что хакер выдавал себя за сотрудника Okta и мог инициировать сброс пароля», — пишет Cloudflare.

Также компания сообщила, что сервисы Okta используются в Cloudflare для идентификации сотрудников, интегрированной в стек аутентификации, то есть клиентам не о чем беспокоиться, «если они сами не используют Okta».

Чтобы исключить любую возможность несанкционированного доступа к учетным записям своих сотрудников, Cloudflare проверила все сбросы паролей или изменение настроек МФА с 1 декабря 2021 года до текущего момента. Таким образом были выявлены 144 учетных записи, и компания принудительно сбросила пароли для них всех.

Источник: xakep