Tres meses después de que el grupo de piratas informáticos Lapsus$ violara la plataforma de autenticación Okta, la empresa concluyó su investigación interna tras descubrir que el impacto fue menos grave de lo que se creía inicialmente.
En una publicación de blog publicada el martes, el director de seguridad de Okta, David Bradbury, señaló que la compañía había sido transparente al compartir detalles del ataque poco después de que se descubriera, pero que análisis posteriores habían degradado las evaluaciones iniciales del alcance potencial.
“Como resultado de la investigación exhaustiva de nuestros expertos en seguridad interna, así como de una firma de seguridad cibernética reconocida a nivel mundial a la que contratamos para producir un informe forense, ahora podemos concluir que el impacto del incidente fue significativamente menor que el potencial máximo. impacto que Okta compartió inicialmente el 22 de marzo de 2022”, escribió Bradbury.
Los piratas informáticos del grupo de piratas informáticos Lapsus$ comprometieron los sistemas de Okta el 21 de enero al obtener acceso remoto a una máquina perteneciente a un empleado de Sitel, una empresa subcontratada para proporcionar funciones de servicio al cliente para Okta. Los detalles del hackeo surgieron dos meses después cuando un miembro de Lapsus$ compartió capturas de pantalla de los sistemas internos de Okta en un canal de Telegram, un incidente que Bradbury calificó como “una vergüenza” para el equipo de seguridad de Okta.
Más que una vergüenza, la brecha fue especialmente preocupante debido al papel de Okta como centro de autenticación para administrar el acceso a muchas otras plataformas tecnológicas. Para las empresas que utilizan software empresarial como Salesforce, Google Workspace o Microsoft Office 365, Okta puede proporcionar un único punto de acceso seguro, lo que permite a los administradores controlar cómo, cuándo y dónde inician sesión los usuarios y, en el peor de los casos, dar un acceso de piratas informáticos a toda la pila de software de una empresa a la vez.
En una sesión informativa con la prensa y los clientes celebrada en marzo, Bradbury dijo que los protocolos de seguridad de la empresa habían limitado el acceso de los piratas informáticos a los sistemas internos, una afirmación que parece haber sido confirmada por la investigación final.
Si bien el informe inicial de Okta concluyó que el período máximo de acceso no autorizado no superaba los cinco días, el informe forense reciente encontró que el período de acceso en realidad era de solo 25 minutos. Y donde la evaluación de impacto anterior limitó el número máximo de organizaciones afectadas a 366, el nuevo informe encontró que solo se había accedido a los sistemas de autenticación de dos clientes de Okta.
Durante este breve período de acceso, Lapsus$ no pudo autenticarse directamente en ninguna cuenta de cliente ni realizar cambios de configuración, dijo Okta.
A la luz del informe forense, el manejo de la infracción por parte de Okta parece haberse realizado de acuerdo con las mejores prácticas de divulgación y respuesta, aunque la reputación de la empresa aún puede haberse visto afectada.
“Si bien se ha determinado que el impacto general del compromiso es significativamente menor de lo que esperábamos inicialmente, reconocemos el alto costo que este tipo de compromiso puede tener para nuestros clientes y su confianza en Okta”, dijo Bradbury.