Perusahaan manajemen identitas dan akses Okta mengatakan penyelidikan atas pelanggaran Lapsus$ Januari menyimpulkan dampak insiden itu secara signifikan lebih kecil dari yang diperkirakan.
Berdasarkan laporan forensik akhir, Chief Security Officer Okta David Bradbury mengatakan penyerang hanya mengakses dua penyewa pelanggan aktif setelah menguasai satu stasiun kerja yang digunakan oleh seorang insinyur yang bekerja untuk Sitel, penyedia layanan dukungan pelanggan pihak ketiga di pusat kecelakaan.
Dampak terbatas yang tak terduga ini berasal dari jendela waktu yang sempit hanya 25 menit berturut-turut yang dikendalikan oleh aktor ancaman atas workstation yang disusupi pada 21 Januari 2022.
“Selama jangka waktu terbatas itu, pelaku ancaman mengakses dua penyewa pelanggan aktif dalam aplikasi SuperUser (yang telah kami beri tahu secara terpisah), dan melihat informasi tambahan terbatas di aplikasi tertentu lainnya seperti Slack dan Jira yang tidak dapat digunakan untuk melakukan tindakan di Okta penyewa pelanggan,” jelas Bradbury, Selasa.
“Aktor ancaman tidak berhasil melakukan perubahan konfigurasi apa pun, pengaturan ulang MFA atau kata sandi, atau peristiwa ‘peniruan identitas’ dukungan pelanggan.”
CSO Okta menambahkan bahwa perusahaan akan memastikan bahwa penyedia layanannya mematuhi persyaratan keamanan baru, termasuk mengadopsi arsitektur keamanan Zero Trust dan mengautentikasi melalui solusi IDAM Okta untuk semua aplikasi tempat kerja.
Okta juga mengakhiri hubungannya dengan Sitel dan sekarang secara langsung mengelola semua perangkat pihak ketiga dengan akses ke alat dukungan pelanggannya.
Okta mengaku bulan lalu melakukan kesalahan dengan menunda pengungkapan pelanggaran Januari dari kelompok pemerasan data Lapsus$, kesalahan yang disebabkan oleh perusahaan yang tidak mengetahui sejauh mana insiden itu dan dampaknya terhadap pelanggan.
Seperti dilansir BleepingComputer, Okta mulai menyelidiki klaim peretasan setelah Lapsus$ membagikan tangkapan layar di saluran Telegram yang menyiratkan bahwa mereka telah melanggar jaringan pelanggan Okta.
Awalnya, Okta mengatakan bahwa peretas Lapsus$ memperoleh akses Remote Desktop (RDP) ke laptop teknisi dukungan Situs melalui “jendela lima hari” antara 16 Januari dan 21 Januari.
Sitel kemudian menyalahkan pelanggaran pada infrastruktur “warisan” di Sykes yang baru diakuisisi, yang berkontribusi pada insiden itu dan memungkinkan penyerang mengakses sistem insinyur
Sehari setelah itu diungkapkan, CEO Okta Todd McKinnon melabeli brach sebagai “upaya” untuk mengkompromikan akun seorang insinyur dukungan tunggal. Namun, Okta kemudian mengatakan bahwa 366 pelanggannya terkena dampak insiden tersebut.
Okta adalah perusahaan publik yang bernilai lebih dari $6 miliar dan mempekerjakan lebih dari 5.000 orang di seluruh dunia yang menyediakan layanan manajemen identitas dan otentikasi ke lebih dari 15.000 organisasi di seluruh dunia.
Sumber : Bleeping Computer
