在被黑客组织 Lapsus$ 入侵三个月后,身份验证平台 Okta 终于在周二的一篇博客文章中,分享了正式版的内部调查报告。公司首席安全官 David Bradbury 指出:在编程客栈攻击发生后不久,他们就已经就获知了相关细节。不过随着分析的深入,他们进一步收缩了早期评估的潜在影响范围。
Bradbury 写道,公司内部安全专家已携手一家全球公认的网络安全企业开展了彻底调查,现能够得出如下结论 —— 该事件的影响,远低于 3 月 22 日披露的预估范围。
【事件回顾】2022 年 1 月 21 日,LapsusvSRiO$ 黑客远程访问了属于 Sitel 员工的机器,进而入侵了 Okta 的系统,因为该公司分包负责了 Okta 的部分客户服务。
两个月后,一名 Lapsus$ 成员在电报群里分享了 Okta 内部系统的屏幕截图,让该公司内部安全团队的颜面尽失。
由于 Okta 扮演着管理诸多其它技术平台访问权限的身份验证中心的角色,本次攻击也引发了相当大的恐慌情绪。
对于使用 Salesforce、Google Workspace 或 Microsoft Office 365 等企业软件的公司客户来说,Okta 提供了单点安全访问,允许管理员控制用户的登录方式、时间和地点。
在最坏的设想下,黑客甚至能够通过渗透 Okt编程客栈a、将某个公司的整个软件堆栈“一锅端”。庆幸的是,在上月的简报会上,Okta 声称措施得当的安全协议,成功阻挡了黑客对内部系统的访问。
随着正式调查报告的公布,Bradbury 的表编程客栈述也得到了验证。尽管早期报告预估未经授权的访问时长不超过 5 天,但进一步分析表明安全违例仅持续了 25 分钟。
之前评估的受影响客户数量多达 366 个,但新报告编程客栈也精确到了只有 2 个 Okta 客户的身份验证系统被 Lapsus$ 摸到过。
欣慰的是,在短暂的访问期限内,黑客未能直接对任何客户的账户实施身份验证、或更改其配置,后续 Okta 将更加努力地挽回客户的信任。