Хакер Microsoft LAPSUS$ заявил об очередной жертве

Дядя Влад

LAPSUS$, группа, стоящая за беспрецедентным взломом Nvidia , успешно проникла в другую компанию, фирму по аутентификации цифровой безопасности Okta.

Было подтверждено, что инцидент с кибербезопасностью произошел в январе, когда расследование, проведенное судебно-медицинской фирмой, показало, что хакер действительно получил доступ к ноутбуку инженера службы поддержки Okta на целых пять дней.

Человек вводит код в систему.

Последствия для последних жертв LAPSUS$ нельзя недооценивать: услугой Okta пользуются некоторые из крупнейших мировых компаний, включая FedEx и T-Mobile. Правительственные учреждения, такие как Федеральная комиссия по связи, также полагаются на свою технологию аутентификации.

В заявлении Okta подчеркивается, что пострадал лишь небольшой процент ее клиентов.

«После тщательного анализа этих претензий мы пришли к выводу, что небольшой процент клиентов — примерно 2,5% — потенциально был затронут и чьи данные могли быть просмотрены или приняты меры».

Последние комментарии Okta появились после того, как LAPSUS$ опубликовала на своем канале Telegram несколько фотографий, содержащих конфиденциальную информацию, касающуюся взлома.

Реакция Okta на инцидент вызвала жесткую реакцию некоторых, в том числе Дэна Старнера, инженера по программному обеспечению инфраструктуры в Salesforce. Как первоначально сообщил VentureBeat , Старнер написал вТвиттере :

Я сказал прошлой ночью, что это было очень, очень плохо.

Сегодня я доверился @okta и подумал, что все в порядке.

Теперь я знаю, что это очень, очень плохо, и что я больше не доверяю @okta . Безопасность сложна, и нарушения случаются, но ложь из-за упущения хуже, чем сообщение нам, что наши данные могут быть скомпрометированы. https://t.co/TjaXt08RKc

– Дэн Старнер (@dan_starner) 23 марта 2022 г.

Билл Демиркапи, независимый исследователь безопасности, также поделился своими мыслями о ситуации, как сообщает Reuters :

«На мой взгляд, похоже, что они пытаются максимально преуменьшить нападение, доходя до того, что прямо противоречат сами себе в своих собственных заявлениях».

LAPSUS$ заявила в своем Telegram-канале, что «сосредоточена ТОЛЬКО на клиентах Okta», а не на самой компании. Он также добавил, что «потенциальное влияние на клиентов Okta НЕ ограничено».

«Я почти уверен, что сброс паролей и [многофакторная аутентификация] приведут к полной компрометации многих клиентских систем», — заявила группа хакеров.

Это наша третья попытка поделиться 5-8 фото. LAPSUS$ отображал много конфиденциальной информации и/или информации о пользователях, настолько много, что мы в конечном итоге пропускаем некоторые из них.

Фотографии 5 – 8 прикреплены ниже. pic.twitter.com/KGlI3TlCqT

– vx-underground (@vxunderground) 22 марта 2022 г.

В другом месте представитель Okta Крис Холлис в более раннем заявлении для The Verge подчеркнул, что атака была ограничена активностью, первоначально обнаруженной в январе. Однако LAPSUS$ утверждал, что имел доступ к учетной записи «Суперпользователь/Администратор» в течение двух месяцев. С этой целью группа заявила, что Okta, по-видимому, хранит ключи Amazon Web Services (AWS) в каналах Slack.

Okta — не единственная известная компания, на которую LAPSUS$ нацелилась на этой неделе. Софтверный гигант Microsoft также подтвердил, что злоумышленнику удалось получить «ограниченный доступ» к его системам . В результате, как сообщается, просочились исходные коды Cortana и поисковой системы Bing.

Ранее LAPSUS$ слил исходный код проприетарного кода DLSS от Nvidia , который был частью более крупного взлома на 1 ТБ .