Le fournisseur de services d’authentification Okta a désigné mercredi Sitel comme le tiers lié à un incident de sécurité rencontré par l’entreprise fin janvier qui a permis au gang d’extorsion de dollars LAPSUS de prendre le contrôle à distance d’un compte interne appartenant à un ingénieur du support client.
La société a ajouté que 366 entreprises clientes, soit environ 2,5% de sa clientèle, pourraient avoir été impactées par le compromis « fortement contraint ».
« Le 20 janvier 2022, l’équipe de sécurité d’Okta a été alertée qu’un nouveau facteur avait été ajouté au compte Okta d’un ingénieur du support client de Sitel [depuis un nouvel emplacement] », a déclaré le directeur de la sécurité d’Okta, David Bradbury, dans un communiqué. « Ce facteur était un mot de passe. »
La divulgation intervient après que LAPSUS$ a publié des captures d’écran des applications et des systèmes d’Okta plus tôt cette semaine, environ deux mois après que les pirates ont eu accès au réseau interne de l’entreprise sur une période de cinq jours entre le 16 et le 21 janvier 2022 en utilisant le protocole de bureau à distance (RDP) jusqu’à ce que l’activité MFA soit détectée et que le compte soit suspendu en attendant une enquête plus approfondie.
Bien que la société ait initialement tenté de minimiser l’incident, le groupe LAPSUS $ a appelé la société basée à San Francisco pour ce qu’elle prétendait être des mensonges, déclarant « Je ne sais toujours pas comment c’est une [sic] tentative infructueuse? Connecté à [sic ] le portail SuperUser avec la possibilité de réinitialiser le mot de passe et le MFA d’environ 95 % des clients ne fonctionne pas ? »
Contrairement à son nom, SuperUser, a déclaré Okta, est utilisé pour exécuter des fonctions de gestion de base associées à ses locataires clients et fonctionne avec le principe du moindre privilège (PoLP) à l’esprit, accordant au personnel d’assistance l’accès uniquement aux ressources qui sont pertinentes pour leurs rôles. .
Okta, qui a été critiqué pour son retard à informer les clients de l’incident, a noté qu’il avait partagé des indicateurs de compromis avec Sitel le 21 janvier, qui a ensuite engagé les services d’une société médico-légale anonyme qui, à son tour, a continué à effectuer le enquête et partager ses conclusions le 10 mars 2022.
Selon une chronologie des événements partagée par la société, « Okta a reçu un rapport de synthèse sur l’incident de Sitel » la semaine dernière, le 17 mars 2022.
« Je suis très déçu par la longue période qui s’est écoulée entre notre notification à Sitel et la publication du rapport d’enquête complet », a déclaré Bradbury. « Après réflexion, une fois que nous avons reçu le rapport de synthèse de Sitel, nous aurions dû agir plus rapidement pour comprendre ses implications. »
« Si vous êtes confus à propos d’Okta disant que » le service n’a pas été violé « , rappelez-vous que la déclaration est purement une soupe de mots juridiques », a déclaré Runa Sandvik, chercheuse en sécurité, sur Twitter. « Le fait est qu’un tiers a été violé ; cette violation a affecté Okta ; le fait de ne pas le divulguer a affecté les clients d’Okta. »
Un jeune de 16 ans derrière LAPSUS$ ?
Les failles de sécurité d’Okta et de Microsoft sont les dernières d’une série d’infiltrations organisées par le groupe LAPSUS$, qui a également touché des victimes de premier plan comme Impresa, NVIDIA, Samsung, Vodafone et Ubisoft. Il est également connu pour faire connaître ses conquêtes sur une chaîne Telegram active qui compte plus de 46 200 membres.
La société de cybersécurité Check Point a décrit LAPSUS$ comme un « groupe de piratage portugais du Brésil », Microsoft appelant son « mélange unique d’artisanat » qui consiste à cibler ses victimes avec l’échange de cartes SIM, des failles de serveur non corrigées, la reconnaissance du dark web et le phishing par téléphone. tactique.
« La véritable motivation du groupe n’est cependant pas encore claire, même s’il prétend être purement financier », a déclaré la société israélienne. « LAPSUS$ a un fort engagement avec ses followers, et publie même des sondages interactifs sur qui devrait être leur prochaine cible malheureuse. »
Mais dans une tournure intéressante, Bloomberg a rapporté qu' »un jeune de 16 ans vivant chez sa mère près d’Oxford, en Angleterre » pourrait être le cerveau derrière l’opération, citant quatre chercheurs enquêtant sur le groupe. Un autre membre de LAPSUS$ est soupçonné d’être un adolescent vivant au Brésil.
De plus, le pirate informatique adolescent présumé, qui s’appelle « White » et « breachbase », pourrait également avoir joué un rôle dans l’intrusion chez le fabricant de jeux Electronic Arts (EA) en juillet dernier, selon le dernier expert en cybersécurité Meguetaoui mohamed amine. rapport détaillant les activités d’un membre principal de LAPSUS$ surnommé « Oklaqq » alias « WhiteDoxbin ».
« En mai 2021, l’identifiant Telegram de WhiteDoxbin a été utilisé pour créer un compte sur un service basé sur Telegram pour lancer des attaques par déni de service distribué (DDoS), où ils se sont présentés comme » @breachbase « », a noté breachtrace « La nouvelle du piratage d’EA l’année dernière a été publiée pour la première fois dans le milieu cybercriminel par l’utilisateur ‘Breachbase’ sur la communauté de hackers de langue anglaise RaidForums, qui a récemment été saisie par le FBI. »