La investigación forense sobre la filtración de datos de clientes de Okta en marzo de 2022 por parte de la pandilla de ciberdelincuentes Lapsus$ ha concluido que su impacto fue significativamente menos grave de lo que se temía inicialmente.
Se pensaba que Lapsus$ tomó el control de la estación de trabajo de un agente de atención al cliente de Sitel al explotar el servicio de protocolo de escritorio remoto (RDP) entre el 16 y el 21 de enero de 2022, desde donde pudieron acceder a los registros de unas 360 empresas, lo que representa menos de 3% de la base de clientes de Okta.
Sin embargo, ahora ha descubierto que Lapsus$ controló activamente la estación de trabajo de Sitel durante solo 25 minutos el 21 de enero, y durante esa ventana muy limitada, accedió solo a dos inquilinos de clientes activos dentro de la aplicación SuperUser y vio información adicional limitada en Slack y Jira que nunca podría haberse utilizado para realizar acciones en los inquilinos de los clientes de Okta.
Lapsus$ no pudo realizar ningún cambio de configuración, autenticación multifactor (MFA) o restablecimiento de contraseña, ni hacerse pasar por ningún agente de atención al cliente. Tampoco podría autenticarse directamente en ninguna cuenta de Okta.
“Si bien se ha determinado que el impacto general del compromiso es significativamente menor de lo que estimamos inicialmente, reconocemos el gran costo que este tipo de compromiso puede tener en nuestros clientes y su confianza en Okta”, dijo David Bradbury, director de seguridad de Okta. .
Bradbury dijo que Okta respondió “con transparencia” y se comprometió plenamente con cada uno de los dos clientes afectados a través de SuperUser para “demostrar nuestro compromiso de reconstruir su confianza y trabajar junto a ellos para reafirmar la seguridad de su servicio Okta”.
Ahora ha proporcionado a todos los clientes que inicialmente creía que habían sido afectados con el informe forense final y un plan de acción de seguridad que establece propuestas a largo y corto plazo para mejorar la forma en que trabaja con terceros, como Sitel, que Okta ahora ha abandonado, que tienen acceso a sus sistemas de atención al cliente.
“Reconocemos lo vital que es tomar medidas para reconstruir la confianza dentro de nuestra base de clientes y ecosistema más amplios”, dijo Bradbury. “Las conclusiones del informe forense final no disminuyen nuestra determinación de tomar acciones correctivas diseñadas para prevenir eventos similares y mejorar nuestra capacidad de respuesta ante incidentes de seguridad.
“Eso comienza con la revisión de nuestros procesos de seguridad y la búsqueda de nuevas formas de acelerar las actualizaciones de terceros e internamente para detectar posibles problemas, tanto grandes como pequeños. Continuaremos trabajando para evaluar los riesgos potenciales y, si es necesario, comunicarnos con nuestros clientes lo más rápido que podamos”.
En el futuro, los terceros deberán cumplir con los nuevos requisitos de seguridad, incluida la adopción de arquitecturas de seguridad de confianza cero, y que se autentiquen a través de la propia solución IDAM de Okta en todas las aplicaciones del lugar de trabajo.
También planea administrar directamente todos los dispositivos de terceros que acceden a su herramienta de atención al cliente para mejorar la visibilidad y el tiempo de respuesta, y modificar la herramienta para limitar lo que pueden ver los ingenieros de soporte técnico.
Finalmente, Okta se está embarcando en una revisión de sus procesos de comunicación con el cliente y planea introducir nuevos sistemas para hablar mejor con sus usuarios sobre la disponibilidad y la seguridad del servicio.
“Los clientes de Okta son nuestro orgullo, propósito y prioridad número uno”, dijo Bradbury. “Nos duele que, si bien la tecnología de Okta sobresalió durante el incidente, nuestros esfuerzos para comunicar sobre los eventos en Sitel no cumplieron con nuestras propias expectativas y las de nuestros clientes”.
Lucas Budman, director ejecutivo de TruU, que tiene interés como especialista en autenticación, comentó: “Es fantástico escuchar que los clientes de Okta se vieron menos afectados de lo que se suponía. Sin embargo, esta brecha fue prevenible. Las personas asumen que están protegidas por MFA, pero la realidad es que no es verdaderamente múltiple.
“Contraseñas y segundo factor [2FA] las tecnologías se ven fácilmente comprometidas. Es hora de que la industria deje de usar formas débiles de identificación y adopte una autenticación basada en MFA verdaderamente sin contraseña”.