Okta, perusahaan autentikasi yang digunakan oleh ribuan organisasi di seluruh dunia, kini telah mengonfirmasi bahwa penyerang memiliki akses ke salah satu laptop karyawannya selama lima hari pada Januari 2022 dan sekitar 2,5 persen pelanggannya mungkin telah terpengaruh — tetapi tetap mempertahankannya. layanan "belum dilanggar dan tetap beroperasi penuh."
Pengungkapan itu muncul ketika grup peretas Lapsus$ telah memposting tangkapan layar ke saluran Telegramnya yang mengklaim sebagai sistem internal Okta, termasuk yang tampaknya menunjukkan saluran Slack Okta, dan lainnya dengan antarmuka Cloudflare.
Setiap peretasan Okta dapat memiliki konsekuensi besar bagi perusahaan, universitas, dan lembaga pemerintah yang bergantung pada Okta untuk mengotentikasi akses pengguna ke sistem internal.
“Kami telah menyimpulkan bahwa sebagian kecil pelanggan – sekitar 2,5 persen – berpotensi terkena dampak dan yang datanya mungkin telah dilihat atau ditindaklanjuti,” tulis kepala petugas keamanan Okta David Bradbury dalam pembaruan Selasa malam. “Kami telah mengidentifikasi pelanggan tersebut dan menghubungi mereka secara langsung. Jika Anda adalah pelanggan Okta dan terkena dampaknya, kami telah menghubungi langsung melalui email. Kami membagikan pembaruan sementara ini, konsisten dengan nilai-nilai kesuksesan, integritas, dan transparansi pelanggan kami.”
Dalam pernyataan sebelumnya pada Selasa sore, Okta mengatakan bahwa penyerang hanya akan memiliki akses terbatas selama periode lima hari itu – cukup terbatas sehingga perusahaan mengklaim “tidak ada tindakan korektif yang perlu diambil oleh pelanggan kami.”
Inilah yang dikatakan Bradbury dan tidak dipertaruhkan saat salah satu teknisi pendukungnya disusupi:
- Dampak potensial bagi pelanggan Okta terbatas pada akses yang dimiliki teknisi pendukung. Teknisi ini tidak dapat membuat atau menghapus pengguna, atau mengunduh database pelanggan. Insinyur dukungan memiliki akses ke data terbatas - misalnya, tiket Jira dan daftar pengguna - yang terlihat di tangkapan layar. Insinyur dukungan juga dapat memfasilitasi pengaturan ulang kata sandi dan faktor MFA untuk pengguna, tetapi tidak dapat memperoleh kata sandi tersebut.
Menulis di saluran Telegramnya, kelompok peretas Lapsus$ mengklaim telah memiliki akses "Pengguna Super/Admin" ke sistem Okta selama dua bulan, bukan hanya lima hari, bahwa ia memiliki akses ke klien tipis daripada laptop, dan mengklaim bahwa itu menemukan Okta menyimpan kunci AWS di saluran Slack. Grup tersebut juga menyarankan untuk menggunakan aksesnya untuk membidik pelanggan Okta.
The Wall Street Journal mencatat bahwa dalam pengajuan baru-baru ini Okta mengatakan memiliki lebih dari 15.000 pelanggan di seluruh dunia. Ini mencantumkan orang-orang seperti Peloton, Sonos, T-Mobile, dan FCC sebagai pelanggan di situs webnya. Berdasarkan angka “sekitar 2,5 persen” yang diberikan, jumlah pelanggan yang terkena dampak ini dapat mendekati 400.
Dalam pernyataan sebelumnya yang dikirim ke The Verge, juru bicara Okta Chris Hollis mengatakan perusahaan belum menemukan bukti serangan yang sedang berlangsung. “Pada akhir Januari 2022, Okta mendeteksi upaya untuk menyusup ke akun teknisi dukungan pelanggan pihak ketiga yang bekerja untuk salah satu subprosesor kami. Masalah itu diselidiki dan ditampung oleh subprosesor.” kata Hollis. “Kami yakin tangkapan layar yang dibagikan secara online terhubung ke acara Januari ini.”
“Berdasarkan penyelidikan kami hingga saat ini, tidak ada bukti aktivitas jahat yang sedang berlangsung di luar aktivitas yang terdeteksi pada Januari,” lanjut Hollis. Tapi sekali lagi, menulis di saluran Telegram mereka, Lapsus$ menyarankan bahwa itu memiliki akses selama beberapa bulan.
Lapsus$ adalah grup peretas yang mengaku bertanggung jawab atas sejumlah insiden tingkat tinggi yang memengaruhi Nvidia, Samsung, Microsoft, dan Ubisoft, dalam beberapa kasus mencuri ratusan gigabyte data rahasia.
Okta mengatakan telah menghentikan sesi Okta teknisi dukungannya dan menangguhkan akun kembali pada bulan Januari, tetapi mengklaim hanya menerima laporan akhir dari perusahaan forensik minggu ini.
Post a Comment