La investigación forense sobre la filtración de datos de clientes de Okta en marzo de 2022 por parte de la banda de ciberdelincuentes Lapsus$ ha revelado que el impacto fue mucho menos grave de lo que se temía inicialmente.
Se creía que entre el 16 y el 21 de enero de 2022, Lapsus$ tomó el control de la estación de trabajo de un ejecutivo de cuenta de Sitel al explotar el servicio Remote Desktop Protocol (RDP), desde donde accedieron a las grabaciones de aproximadamente 360 Empresas que representaban menos del 3% de la base de clientes de Okta.
Sin embargo, ha surgido que Lapsus$ solo controló activamente la estación de trabajo de Sitel durante 25 minutos el 21 de enero y durante esa ventana muy limitada solo accedió a dos inquilinos de clientes activos dentro de la aplicación SuperUser y vio información adicional limitada en Slack y Jira nunca podría haber sido utilizada para realizar acciones en los inquilinos de los clientes de Okta.
Lapsus$ no pudo realizar cambios de configuración, autenticación multifactor (MFA), restablecimiento de contraseña o hacerse pasar por un agente de servicio al cliente. Tampoco podía autenticarse directamente en las cuentas de Okta.
«Si bien se ha determinado que el impacto general del compromiso es significativamente menor de lo que se pensó originalmente, reconocemos el alto costo que este tipo de compromiso puede tener para nuestros clientes y su confianza en Okta», dijo David Bradbury, director de seguridad de Okta. .
Bradbury dijo que Okta respondió «con transparencia» y se comprometió plenamente con cada uno de los dos clientes afectados por SuperUser para «demostrar nuestro compromiso de reconstruir su confianza y trabajar con ellos para reafirmar la seguridad de su servicio Okta».
Ahora tiene acceso al informe forense final y a un plan de acción de seguridad con sugerencias a corto y largo plazo para mejorar la forma en que funciona con terceros, como Sitel, que Okta ahora ha eliminado, para todos los clientes que inicialmente creía que estaban afectados. tienen sus sistemas de atención al cliente.
«Reconocemos la importancia de tomar medidas para restaurar la confianza dentro de nuestra base de clientes y ecosistema más amplios», dijo Bradbury. “Las conclusiones del informe forense final no disminuyen nuestra determinación de tomar medidas correctivas para prevenir eventos similares y mejorar nuestra capacidad de respuesta ante incidentes de seguridad.
«Esto comienza cuando revisamos nuestros procesos de seguridad y buscamos nuevas formas de acelerar las actualizaciones, internas y de terceros, para problemas potenciales, grandes y pequeños. Continuaremos trabajando para evaluar los riesgos potenciales y comunicarnos con nuestros clientes lo antes posible si es necesario”.
En el futuro, los terceros deberán cumplir con los nuevos requisitos de seguridad, incluida la adopción de arquitecturas de seguridad Zero Trust, y autenticarse en todas las aplicaciones del lugar de trabajo a través de la solución IDAM patentada de Okta.
También planea administrar directamente todos los dispositivos de terceros que acceden a su herramienta de atención al cliente para mejorar la visibilidad y el tiempo de respuesta, y modificar la herramienta para limitar lo que pueden ver los técnicos de soporte técnico.
Finalmente, Okta está comenzando una revisión de sus procesos de comunicación con el cliente y planea implementar nuevos sistemas para comunicarse mejor con sus usuarios sobre la disponibilidad y seguridad del servicio.
«Los clientes de Okta son nuestro orgullo, nuestro objetivo y nuestra prioridad número uno», dijo Bradbury. «Nos duele que, si bien la tecnología de Okta fue excelente durante el incidente, nuestros esfuerzos por comunicar lo que sucedió en Sitel no cumplieron con nuestras expectativas y las de nuestros clientes».
Lucas Budman, director ejecutivo de TruU, que opera como especialista en autenticación, comentó: «Es fantástico saber que los clientes de Okta se han visto menos afectados de lo previsto. Sin embargo, esta violación era evitable. Las personas asumen que están protegidas por MFA, pero la realidad es que no es realmente múltiple.
“Contraseñas y segundo factor [2FA] Las tecnologías son fáciles de comprometer. Es hora de que la industria deje de usar formas débiles de identificación y adopte una autenticación basada en MFA verdaderamente sin contraseña”.