Ecco l’errore più grave commesso da una vittima di hacker di LAPSUS$
La società di autenticazione di sicurezza digitale Okta ha alzato le sopracciglia quando ha confermato di essere stata presa di mira dagli hacker Microsoft e Nvidia , LAPSUS$, circa due mesi dopo che si è verificata la violazione.
L’attesa tra il periodo iniziale dell’incidente di sicurezza informatica e il riconoscimento ufficiale dell’hack ha causato seria preoccupazione tra i ricercatori di sicurezza e la comunità tecnologica. Ora, Okta ha pubblicato una FAQ sulla situazione in cui ammette che l’azienda ha commesso un errore.
LAPSUS$ ha affermato di aver ottenuto l’accesso ai sistemi di Okta infiltrandosi in uno dei suoi clienti, Sitel, a gennaio. Okta lo ha confermato quando ha dichiarato di aver rilevato attività sospette il 20 gennaio. Dice di aver ricevuto un “rapporto riepilogativo sull’incidente da Sitel” il 17 marzo.
Tuttavia, Okta ha confermato l’hacking solo dopo che LAPSUS$ ha rilasciato immagini sensibili la scorsa settimana. L’azienda, che fornisce tecnologia di autenticazione ad alcune delle più grandi aziende del mondo, comprese le agenzie governative, ha ora risposto al forte contraccolpo in una FAQ:
“Vogliamo riconoscere che abbiamo commesso un errore. Sitel è il nostro fornitore di servizi di cui siamo in ultima analisi responsabili.
“A gennaio, non sapevamo l’entità del problema di Sitel, solo che abbiamo rilevato e impedito un tentativo di acquisizione dell’account e che Sitel aveva incaricato una società forense di indagare. A quel tempo, non riconoscevamo che c’era un rischio per Okta e per i nostri clienti. Dovremmo avere informazioni più attivamente e con forza da Sitel.
“Alla luce delle prove che abbiamo raccolto nell’ultima settimana, è chiaro che avremmo preso una decisione diversa se fossimo stati in possesso di tutti i fatti che abbiamo oggi”.
Altrove, i documenti trapelati condivisi con Wired dal ricercatore di sicurezza indipendente Bill Demirkapi mettono in discussione la forza, o l’apparente mancanza di essa, del sistema di sicurezza di Sitel e delle risposte di mitigazione, oltre a mostrare “apparenti lacune nella risposta di Okta all’incidente”.
Secondo il rapporto, LAPSUS$ si basava su strumenti come Mimikatz, progettato per estrarre password, per ottenere un ulteriore accesso ai sistemi di Sitel.
“La sequenza temporale dell’attacco è imbarazzante per il gruppo Sitel”, ha sottolineato Demirkapi. “Gli aggressori non hanno tentato affatto di mantenere la sicurezza operativa. Hanno letteralmente cercato in Internet sulle loro macchine compromesse strumenti dannosi noti, scaricandoli da fonti ufficiali”.
Forte contraccolpo
In ogni caso, sia i ricercatori di sicurezza che i clienti di Okta hanno trovato da ridire su come l’azienda ha risposto all’hack.
Ad esempio, come riportato da Computing.co.uk , il CEO di Tenable Amit Yoran, che è una società di sicurezza informatica oltre che un cliente Okta, ha fornito una dichiarazione forte indirizzata a Okta tramite LinkedIn:
“O non hai indagato adeguatamente o hai rivelato la violazione a gennaio, quando è stata scoperta. Quando sei stato eliminato da LAPSUS$, hai spazzato via l’incidente e non hai fornito letteralmente alcuna informazione praticabile ai clienti. LAPSUS$ ti ha poi denunciato per i tuoi apparenti errori. Solo allora determini e ammetti che il 2,5% (centinaia) della sicurezza dei clienti è stato compromesso. E i dettagli e le raccomandazioni ancora attuabili sono inesistenti.
“Nessun indicatore di compromesso è stato pubblicato, nessuna best practice e nessuna guida è stata rilasciata su come mitigare qualsiasi potenziale aumento del rischio. Come cliente, tutto ciò che possiamo dire è che Okta non ci ha contattato”.
Demirkapi ha fatto eco ai sentimenti della suddetta lettera aperta quando ha inizialmente commentato l’incidente la scorsa settimana. “Secondo me, sembra che stiano cercando di minimizzare l’attacco il più possibile, arrivando al punto di contraddirsi direttamente nelle loro stesse dichiarazioni”, ha detto.
Nel frattempo, sette hacker associati a LAPSUS$ (di età compresa tra 16 e 21 anni) sono stati apparentemente arrestati la scorsa settimana a Londra, secondo Wired. Tuttavia, alla fine sono stati tutti rilasciati senza essere formalmente accusati.
LAPSUS$ ha fatto un bel ingresso nella comunità degli hacker. Inizialmente li abbiamo scoperti tramite il suo hack Nvidia da 1 TB , seguito di recente da un’infiltrazione nei sistemi di Microsoft. Per quanto riguarda quest’ultima azienda, secondo quanto riferito, ha già visto trapelare codici sorgente per Cortana e il suo motore di ricerca Bing .