自駭客組織Lapsus$在3月22日公布Okta內部資料以來,這家身分暨存取管理業者因為供應鏈攻擊事件,股價從170美元跌到138美元,跌幅達20%。(圖片來源/Okta)

身分驗證及存取管理雲端方案商Okta上周五(3/25)坦承,1月間得知第三方廠商被駭事件,但沒有繼續追查,決策上確有疏失。

Lapsus$集團在接連公布了多家知名廠商包括Nvidia、三星、Vodafone、Ubisoft後,上周也公布微軟及Okta的資料。根據駭客張貼的系統擷圖,顯示這是一個「Super User」應用。Okta說明起因在第三方業者Sitel服務工程師筆電被駭,可是後果並不如駭客說的那麼嚴重,即使客戶資料被存取,也僅限於該名工程師能存取的客戶資料,駭客無法新增或刪除使用者,或下載客戶資料庫。不過Okta也遭媒體批評未在1月通報。

Okta上周五說明事件發生經過。今年1月20日該公司安全團隊發現Sitel的客戶服務工程師的Okta帳號被加入一項密碼,顯示可能遭變更密碼。該公司宣稱,雖然該工程師帳號未成功被駭入,但為謹慎起見,他們仍然重設了這個帳號,並通知Sitel。之後Sitel請來外部鑑識廠商調查分析。Okta於3月17日接獲最終簡報,但5天後Lapsus$就公布了系統擷圖。Okta事發後於上周二(3/22)取得Sitel的完整調查報告,並對外界說明案情,強調該公司系統沒有被駭,客戶也無需採取任何行動。

但Okta仍坦承自己做了錯誤決策,Sitel是其服務供應商,Okta應負起最終責任。1月間他們並不知道Sitel的問題那麼大,Okta僅預防帳號被接管,並讓Sitel自己去找第三方鑑識廠商來調查,而未想到對Okta和客戶的風險。該公司坦承自己應該更主動,並要求Sitel提交更多資料。而從上周取得的證據來看,如果他們早點取得資料,應該會做出不同決定。

針對這起事件,Okta強調Lapsus$公布擷圖中的Super User應用程式只是內部Okta支援工具,僅供服務工程師基本的資訊存取,像是Jira工單或他負責的客戶清單。Super User並不等同「superadmin」,無法存取所有用戶資料,也無法新增或刪除用戶帳號、下戴客戶資料庫。

Sitel的工程師有權限重設客戶密碼或多因素驗證,但無法選擇或取得密碼。若攻擊者要使用這個管道來攻擊目標用戶,他必須另外取得該用戶的電子郵件。

上周Okta證實有2.5%、即366家客戶受到Lapsus$事件影響。該公司說已聯絡所有可能受影響的客戶,未受影響的用戶也接獲通知。

Okta表示Sitel公司證實已解決問題,不過Okta仍持續調查,也使用Log及其他資料源來判斷資料是否遭存取或外洩。

從Lapsus$ 3月22日公布資料以來,Okta股價已從170美元跌到138美元,跌幅達20%。

熱門新聞

Advertisement