Вот главная ошибка жертвы взлома LAPSUS$

Дядя Влад

Компания Okta, занимающаяся аутентификацией цифровых данных, вызвала удивление, когда подтвердила, что она стала целью хакеров Microsoft и Nvidia , LAPSUS$, примерно через два месяца после взлома.

Ожидание между начальным периодом инцидента кибербезопасности и официальным признанием взлома вызвало серьезную озабоченность у исследователей безопасности и технологического сообщества. Теперь Okta опубликовала часто задаваемые вопросы о ситуации, в которой признает, что фирма допустила ошибку.

На большом мониторе отображается предупреждение о взломе системы безопасности.

LAPSUS$ заявила, что получила доступ к системам Okta, проникнув в систему одного из ее клиентов, Sitel, в январе. Okta подтвердила это, когда заявила, что обнаружила подозрительную активность 20 января. В нем говорится, что 17 марта получен «сводный отчет об инциденте от Sitel».

Однако Окта подтвердил взлом только после того, как на прошлой неделе LAPSUS$ опубликовала конфиденциальные изображения. Компания, которая предоставляет технологии аутентификации некоторым из крупнейших компаний в мире, в том числе правительственным учреждениям, теперь ответила на серьезную негативную реакцию в FAQ :

«Мы хотим признать, что совершили ошибку. Sitel является нашим поставщиком услуг, за которого мы несем полную ответственность.

«В январе мы не знали масштабов проблемы с Sitel — только то, что мы обнаружили и предотвратили попытку захвата учетной записи и что Sitel наняла стороннюю судебно-медицинскую фирму для расследования. В то время мы не понимали, что существует риск для Okta и наших клиентов. Мы должны более активно и настойчиво получать информацию от Sitel.

«В свете доказательств, которые мы собрали на прошлой неделе, становится ясно, что мы приняли бы другое решение, если бы располагали всеми фактами, которые у нас есть сегодня».

В другом месте просочившиеся документы, которыми поделился с Wired независимый исследователь безопасности Билл Демиркапи, ставят под сомнение силу или очевидное отсутствие таковой системы безопасности Sitel и мер по смягчению последствий, а также демонстрируют «очевидные пробелы в реакции Okta на инцидент».

Согласно отчету, LAPSUS$ полагалась на такие инструменты, как Mimikatz, предназначенный для извлечения паролей, чтобы получить дополнительный доступ к системам Sitel.

«Сроки атаки вызывают смущение у группы Sitel», — подчеркнул Демиркапи. «Злоумышленники вообще не пытались поддерживать оперативную безопасность. Они буквально искали в Интернете на своих скомпрометированных машинах известные вредоносные инструменты, загружая их из официальных источников».

Сильный люфт

В любом случае, как исследователи безопасности, так и собственные клиенты Okta нашли недостатки в том, как фирма отреагировала на взлом.

Например, как сообщает Computing.co.uk , генеральный директор Tenable Амит Йоран, которая занимается кибербезопасностью, а также является клиентом Okta, сделал резкое заявление, адресованное Okta через LinkedIn:

«Вы либо не провели надлежащего расследования, либо не раскрыли нарушение в январе, когда оно было обнаружено. Когда вас разоблачила LAPSUS$, вы отмахнулись от инцидента и не предоставили клиентам буквально никакой информации, необходимой для принятия мер. Затем LAPSUS$ обратился к вам с жалобой на ваши очевидные искажения. Только тогда вы определяете и признаете, что 2,5% (сотни) безопасности клиентов были скомпрометированы. И все же действенных деталей и рекомендаций не существует.

«Никаких индикаторов компрометации не публиковалось, никаких передовых практик и руководств о том, как снизить любое потенциальное увеличение риска, не публиковалось. Как клиент, все, что мы можем сказать, это то, что Okta не связывалась с нами».

Демиркапи повторил настроения вышеупомянутого открытого письма, когда он впервые прокомментировал инцидент на прошлой неделе. «На мой взгляд, похоже, что они пытаются максимально преуменьшить значение нападения, вплоть до прямого противоречия в своих собственных заявлениях», — сказал он.

Между тем, по данным Wired, семь хакеров, связанных с LAPSUS$ (в возрасте от 16 до 21 года), по-видимому, были арестованы на прошлой неделе в Лондоне. Однако в конечном итоге все они были освобождены без предъявления официальных обвинений.

LAPSUS$ прочно закрепился в хакерском сообществе. Сначала мы узнали о них благодаря взлому Nvidia на 1 ТБ , за которым недавно последовало проникновение в системы Microsoft. Что касается последней фирмы, то, как сообщается, она уже стала свидетелем утечки исходных кодов Cortana и ее поисковой системы Bing .