第三方 Okta 黑客让客户争先恐后(身份验证公司 Okta 关于 Lapsus$ 漏洞的声明未能回答关键问题)

第三方 Okta 黑客让客户争先恐后(身份验证公司 Okta 关于 Lapsus$ 漏洞的声明未能回答关键问题)

数字勒索 组织 Lapsus$ 周一将安全世界置于混乱之中, 声称它已获得 身份管理平台 Okta 的“超级用户”管理帐户的访问权限。 由于如此多的组织使用 Okta 作为其云服务套件的看门人,因此此类攻击可能会对任何数量的 Okta 客户产生重大影响。

Okta 在周二凌晨的一份简短声明中表示,它在 1 月下旬“检测到有人企图破坏为我们的一个子处理器工作的第三方客户支持工程师的账户”,但“此事已由子处理器。”

在周二下午的一份 扩展声明 中,Okta 的首席安全官大卫布拉德伯里明确表示,“Okta 服务没有被破坏。” 然而,已经出现的细节,包括布拉德伯里的声明本身,描绘了一幅令人困惑的画面,而且相互矛盾的信息使 Okta 的客户和其他依赖他们的人难以评估他们的风险和损害程度。

网络安全和事件响应公司 Red Canary 的首席安全官 Keith McCammon 表示:“Okta 事件有两个很大的未知数:事件的具体性质以及它可能如何影响 Okta 客户。” “这正是导致客户期望更主动地通知影响其产品或客户的安全事件的情况。”

布拉德伯里的声明说,该公司本周才从它聘请的私人取证公司收到了对一月份事件的分析,以评估情况。 时机恰逢 Lapsus$ 决定通过 Telegram 发布屏幕截图,声称详细说明了从 1 月下旬开始的 Okta 管理帐户访问权限。

该公司的扩展声明开篇称,它“检测到试图破坏为第三方供应商工作的客户支持工程师的账户,但未成功。” 但显然一些尝试是成功的,因为布拉德伯里接着说,事件报告最近显示“在 2022 年 1 月 16 日至 21 日之间的五天时间窗口中,攻击者可以访问支持工程师的笔记本电脑。”

该声明补充说,在这五天里,攻击者将拥有支持工程师被授予的完全访问权限,其中不包括创建或删除用户、下载客户数据库或访问现有用户密码的能力,但包括对 Jira 的访问权限票证、用户列表,以及至关重要的重置密码和多因素身份验证 (MFA) 令牌的能力。 后者是 Lapsus$ 黑客可能会滥用的主要机制来接管目标组织的 Okta 登录并渗透。

Okta 表示正在联系可能受到影响的客户。 不过,周二,包括互联网基础设施公司 Cloudflare 在内的公司 提出了一个问题 ,即为什么他们是从推文和犯罪截图而不是 Okta 本身中听到这起事件的。 不过,身份管理公司似乎坚持认为,以某种方式损害第三方附属公司并不是直接违规行为。

“在 Okta 的声明中,他们说他们没有遭到破坏,并且攻击者的尝试‘不成功’,但他们公开承认攻击者可以访问客户数据,”独立安全研究员 Bill Demirkapi 说。“如果 Okta 从 1 月份就知道攻击者可能已经能够访问机密的客户数据,为什么他们从未通知任何客户?”

在实践中,第三方服务提供商的违规行为是最终危害主要目标的既定攻击路径,Okta 本身似乎谨慎地限制了其“子处理器”圈子。 的 名单 显示了 11 个区域合作伙伴和 10 个分处理商。 后一组是著名的实体,例如 Amazon Web Services 和 Salesforce。 屏幕截图指向 Sykes Enterprises,该公司在哥斯达黎加有一个团队,可能是其员工 Okta 管理帐户被盗的关联公司。

由商业服务外包公司 Sitel Group 拥有的 Sykes 在一份 报道 福布斯 ,它在 1 月份遭受了入侵。

该公司在一份声明中表示:“在 2022 年 1 月发生影响 Sykes 部分网络的安全漏洞后,我们迅速采取行动控制该事件并保护任何可能受影响的客户。” “作为调查的结果,以及我们对外部威胁的持续评估,我们相信不再存在安全风险。”

赛克斯的声明接着说,该公司“无法评论我们与任何特定品牌的关系或我们为客户提供的服务的性质。”

在其 Telegram 频道上,Lapsus$ 发布了对 Okta 声明的详细(并且经常是自我祝贺)反驳。

“对 Okta 客户的潜在影响并不有限,我很确定重置密码和 [多因素身份验证] 将导致许多客户系统的完全妥协,”该组织写道。 “如果您致力于 [ 原文如此 ] 透明度,您如何聘请像 Mandiant 这样的公司并发布他们的报告?”

然而,对于许多努力了解他们在事件中的潜在风险的 Okta 客户来说,所有这些都无助于阐明情况的全部范围。

“如果 Okta 支持工程师可以为用户重置密码和多因素身份验证因素,这可能会给 Okta 客户带来真正的风险,”Red Canary 的 McCammon 说。 “Okta 的客户正试图评估他们的风险和潜在风险,整个行业都在从准备的角度看待这一点。 如果或当类似的事情发生在另一个身份提供者身上时,我们对主动通知的期望应该是什么?我们的反应应该如何演变?”

在这种情况下,Okta 的澄清将特别有价值,因为 Lapsus$ 的总体 动机仍不清楚 。

安全公司 Venafi 的高级安全工程师 Pratik Savla 表示:“Lapsus$ 已将其目标扩大到特定行业垂直或特定**或地区之外。” “这使得分析师更难预测接下来哪家公司面临的风险最大。这可能是故意让每个人都猜测的举动,因为到目前为止,这些策略一直很好地为攻击者服务。”

随着安全社区争先恐后地处理 Okta 的情况,Lapsus$ 可能会酝酿更多的启示。

声明:所有白马号原创内容,未经允许禁止任何网站及个人转载、采集等一切非法引用。本站已启用原创保护,有法律保护作用,否则白马号保留一切追究的权利。发布者:白马号,转转请注明出处:https://www.bmhysw.com/article/9270.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
白马号白马号

相关推荐

  • 自我监督和无监督学习(Meta 的 Yann LeCun 致力于人类级别的 AI )

    弥合自然智能和人工智能之间差距的下一步是什么? 科学家和研究人员在答案上存在分歧。 Meta 首席人工智能科学家、2018 年图灵奖获得者 Yann LeCun 押注于自我监督学习,即无需人工标记示例即可进行训练的机器学习模型。 多年来,LeCun 一直在思考和谈论 自我监督和无监督学习 。 但随着他的研究以及人工智能和神经科学领域的进步,他的愿景已经集中在…

    2022-03-22 投稿
    00
  • Linux下修改debian wheezy默认配置的方法汇总

    Linux下修改debian wheezy默认配置的方法汇总 修改主题和背景 修改默认终端 修改软件源 修改默认编辑器 修改主题和背景 默认情况下,debian wheezy使用gnome 3桌面环境,可以通过以下步骤修改主题和背景: 打开gnome-tweak-tool 在“外观”选项卡中选择喜欢的主题和背景 修改默认终端 默认情况下,debian whe…

    2023-06-26
    00
  • Win10电脑怎么解锁电脑的虚拟键盘?解锁电脑虚拟键盘的方法

    Win10电脑怎么解锁电脑的虚拟键盘?解锁电脑虚拟键盘的方法 什么是电脑的虚拟键盘? 为什么要解锁电脑的虚拟键盘? 如何解锁电脑的虚拟键盘? 什么是电脑的虚拟键盘? 电脑的虚拟键盘是一种软件模拟的键盘,可以通过鼠标或触摸屏等输入设备来模拟真实的物理键盘。虚拟键盘通常用于触摸屏电脑、平板电脑等设备上,也可以在需要时在桌面电脑上使用。 为什么要解锁电脑的虚拟键盘…

    2023-08-20
    00
  • APPX文件是什么?APPX文件的介绍与打开方法

    APPX文件是什么?APPX文件的介绍与打开方法 介绍 打开方法 介绍 APPX文件是一种用于Windows 10操作系统的应用程序包格式,类似于之前的MSI和EXE文件。它们是通过Windows Store分发的应用程序的主要部分。 与传统的安装程序不同,APPX文件是一种轻量级的打包格式,其中包含应用程序的所有组件和资源。通过使用APPX文件,开发人员可…

    2023-06-04
    00
  • 电脑控制面板详解:WinMac电脑控制面板的功能和使用方法

    电脑控制面板详解:Win/Mac电脑控制面板的功能和使用方法 一、Win电脑控制面板 1. 硬件和声音 此功能模块用于调整Win电脑的硬件设备和声音效果,包括:声音、打印机、麦克风、键盘、鼠标等。用户可以在此模块中做出针对硬件设备的各种设置和调整。 2. 网络和Internet 此功能模块用于Win电脑的网络连接和Internet设置,包括:网络和共享中心、…

    2023-05-20
    00

联系我们

QQ:183718318

在线咨询: QQ交谈

邮件:183718318@qq.com

工作时间:周一至周五,9:30-18:30,节假日休息

关注微信