전 세계 수천 개의 조직에서 사용하는 인증 회사인 Okta는 공격자가 2022년 1월 5일 동안 직원의 노트북 중 하나에 액세스한 것을 확인했지만 서비스는 “해킹되지 않았으며 여전히 완벽하게 작동합니다. “.

이번 폭로는 해킹 그룹 $Lapsus가 Okta Slack 채널과 Cloudflare 인터페이스를 보여주는 것으로 보이는 것을 포함하여 Okta 내부에서 가져온 것이라고 주장하는 Telegram 채널의 스크린샷을 게시하면서 나왔습니다.

Okta 해킹은 Okta에 의존하여 내부 시스템에 대한 사용자 액세스를 인증하는 기업, 대학 및 정부 기관에 중대한 영향을 미칠 수 있습니다.

하지만 화요일 오후 성명서에서이제 Okta는 공격자가 “고객이 취해야 하는 시정 조치가 없다”고 회사가 주장할 수 있을 정도로 제한된 5일 동안만 액세스 권한이 있다고 말했습니다.

Okta의 최고 보안 책임자인 David Bradbury는 지원 엔지니어가 손상되면 위험에 처한다고 말합니다.

Okta 고객의 잠재적 영향은 지원 엔지니어의 범위로 제한됩니다. 이러한 엔지니어는 사용자를 생성 또는 삭제하거나 클라이언트 데이터베이스를 다운로드할 수 없습니다. 지원 엔지니어는 스크린샷에 표시된 제한된 데이터(예: Jira 티켓 및 사용자 목록)에 액세스할 수 있습니다. 지원 엔지니어는 또한 암호 재설정을 용이하게 하고 MFA 사용자 에이전트, 그러나 그들은 이러한 암호를 얻을 수 없습니다.

해킹 그룹 $Lapsus는 Telegram 채널에 글을 올렸으며 Okta 시스템에 5일이 아니라 2개월 동안 “사용자/관리자” 액세스 권한이 있었고 랩톱 대신 씬 클라이언트에 액세스할 수 있었다고 주장합니다. Okta는 AWS 키를 Slack 채널에 저장합니다. 이 그룹은 또한 Okta 클라이언트에서 제로 액세스를 사용하고 있음을 나타냈습니다. 월스트리트 저널 메모 최근 제출된 문서에서 Okta는 전 세계적으로 15,000명 이상의 고객을 보유하고 있다고 밝혔습니다. Peloton, Sonos, T-Mobile 및 FCC를 고객으로 나열합니다. 그의 웹사이트에서.

이전에 보낸 성명서에서 모서리Okta의 대변인 Chris Hollis는 회사가 공격이 진행되고 있다는 증거를 찾지 못했다고 말했습니다. “2022년 1월 말, Okta는 우리 하위 프로세서 중 하나에서 일하는 타사 고객 지원 엔지니어의 계정을 해킹하려는 시도를 발견했습니다. 이 문제는 하위 프로세서에서 조사하고 억제했습니다.” 홀리스가 말했다. “온라인에서 공유된 스크린샷이 이번 1월 이벤트와 관련이 있다고 생각합니다.”

홀리스는 “현재까지의 조사에 따르면 1월에 탐지된 활동 외에 악성 활동이 지속되고 있다는 증거는 없다”고 말했다. 하지만 다시 텔레그램 채널에 글을 씁니다. 랩수스 제안 $ 그는 몇 달 동안 버틸 수 있었습니다.

$Lapsus는 영향을 받은 많은 주목할만한 사건에 대한 책임을 주장하는 해킹 그룹입니다. 엔비디아그리고 삼성그리고 마이크로소프트그리고 유비소프트어떤 경우에는 수백 기가바이트의 기밀 데이터를 훔칩니다.

Okta는 Okta의 지원 엔지니어 세션을 종료하고 1월에 계정을 일시 중지했다고 밝혔지만 이번 주에 법의학 회사로부터 최종 보고서를 받았다고 주장합니다.

업데이트, 동부 표준시 기준 오후 2시 38분: Okta의 진술과 주장은 위반이 매우 제한적이며 취해야 할 시정 조치가 없다고 덧붙였습니다.

업데이트, 동부 표준시 오후 2시 58분: Lapsus $hacker 그룹은 랩톱 대신 씬 클라이언트에 액세스할 수 있으며 Okta가 Slack 채널에 AWS 키를 저장하는 것을 발견했다고 덧붙였습니다.