攻击者据称“焦点只是在Okta客户”
更新奥卡塔,这验证和身份管理巨头正在调查据称的恶意黑客制造的索赔,以使其内部环境损害其内部环境,目的是针对OKTA客户的意图。
根据屏幕截图,LAPSUS $首先在2021年12月首次识别的赎金瓶帮派队首次识别,已达到“超级用户”访问OKTA.com在推特上循环今天(3月22日)。
“对于向许多最大的公司(和Fedramp认可的许多公司(和Fedramp批准)的服务提供验证系统的服务,我认为这些安全措施相当差,”屏幕截图中显示的消息。
“在人们开始询问之前:我们没有从OKTA访问/窃取任何数据库 - 我们的焦点仅在OKTA客户身上,”它继续。
屏幕截图还似乎表明攻击者可以访问筏子企业账户,包括JIRA,AWS,Salesforce,Zoom,Google Workspace以及目标环境中的汇合。
基于旧金山的OKTA提供单点登录(SSO),多因素身份验证(MFA),以及超过15,000名客户的相关服务。
'时间窗口'
奥卡塔在一个中说陈述星期二(3月22日)发布,它认为截图与1月份检测到的尝试有关,“妥协于为我们的子处理器之一工作的第三方客户支持工程师”。它补充说已经包含了这一事件它已经看到“没有证据表明在1月份检测到的活动之外的持续恶意活动”。
但是,晚些时候在同一天OKTA CSO David Bradbury颁发了进一步的陈述承认“大约2.5%”的OKTA客户“可能受到影响,并且可能已被视为或采取其数据。
他补充说,这些客户被OKTA提醒了,但不需要采取任何“纠正措施”。
本周由法学公司提供的一份报告,Bradbury继续“突出显示,在1月16日至21日之间有五天的时间窗口,攻击者可以访问支持工程师的笔记本电脑”。
Bradbury表示,攻击者的活跃OKTA会议已被终止,他们的账户暂停。
有关的据称,Nvidia黑客据称勒索公司进入开放的GPU司机
“对OKTA客户的潜在影响仅限于支持工程师的访问权限,”他补充说。“这些工程师无法创建或删除用户,或下载客户数据库。
“支持工程师确实可以访问有限的数据 - 例如,在屏幕截图中看到的jira票和用户列表。支持工程师还能够为用户重置密码和多因素身份验证因素,但无法获取这些密码。“
布拉德伯里表示,OKTA服务“尚未遭到违反并仍然完全运行”。
Matthew Prince,CloudFlare,奥克萨客户,鸣叫今天早些时候:“我们正在重置任何在过去4个月内更改密码的员工的@OKTA凭据,超出丰富的谨慎。我们确认没有妥协。okta是一层安全性。鉴于他们可能有一个问题,我们正在评估该层的替代品。“
Data Security公司Evervault的首席执行官Shane Curran评论:“Okta目前拥有数亿用户,并正在准备快速扩展用户。如果确认,这一违规可能会对全球的企业造成严重破坏,依靠服务,让他们安全,并且可以证明是OKTA及其客户的噩梦场景。“
多产帮派
最近几周,LAPSUS $已与乌比特,三星和沃达丰的破坏性黑客有关。周一,迄今为止,多产集团吹嘘其中一个最大的受害者,声称它受到了微软的内部Azure Devops服务器随后为几个Microsoft项目泄露了37GB的被盗源代码。
一部分更广泛的趋势,LAPSUS $似乎基于发布窃取敏感数据的威胁而不是加密数据和要求返回解密密钥的威胁,似乎有利于勒索受害者。
在美国花栗鼠Nvidia的情况下,这些赎金要求变得相当不等载试图勒索在某些显卡中删除挖掘Hashrate Limiter,并开放其GPU驱动程序。
“大多数这些攻击都有有针对性的源代码存储库,允许他们窃取专有数据,”Borja Rodriguez,威胁狩猎团队在网络安全公司Blueliv评论中。
“即使是安全研究人员也无法指定哪个(如果有的话)勒索制造器群体使用,或者他们如何违反这些公司。其中一些人认为他们招募员工或内部人,可以让他们能够获得任何电信公司,大型软件/游戏公司,呼叫中心或大型服务器主机;还使用网络钓鱼以获得初始访问。“
本文于3月23日更新,以包括OKTA在此事件中颁发的新陈述。
