Okta non sta facendo chiarezza sull’attacco informatico che ha subito

Il gruppo di cybercriminali Lapsus$ ha gettato il mondo della sicurezza informatica nello scompiglio lunedì 21 marzo dopo aver affermato di aver ottenuto l’accesso a un account amministrativo super user per la piattaforma di gestione delle identità Okta. Dal momento che molte aziende utilizzano Okta come strumento di controllo degli accessi per la loro suite di servizi cloud, un attacco di questa portata potrebbe avere importanti conseguenze. Okta ha rilasciato una breve dichiarazione, spiegando che alla fine di gennaio aveva “rilevato un tentativo di compromettere l’account di un ingegnere del supporto clienti che lavora per uno dei nostri sub-fornitori,” e di “aver indagato sulla questione, che è stata contenuta.”

In una dichiarazione di martedì 22, il responsabile sicurezza di Okta, David Bradbury, ha detto categoricamente: “Il servizio Okta non è stato violato“. I dettagli che sono emersi, però, anche dalla stessa dichiarazione di Bradbury, dipingono un quadro confuso e le informazioni contrastanti hanno reso difficile per i clienti Okta e altri che dipendono da loro valutare il rischio e l’entità del danno.

“Ci sono due grandi incognite quando si tratta dell’incidente Okta: la natura specifica dell’incidente e l’impatto che potrebbe avere sui clienti – dice Keith McCammon, responsabile sicurezza di Red Canary, società che si occupa di network security e incident response -. Questo è esattamente il tipo di situazione che porta i clienti ad aspettarsi avvisi più tempestivi quando si verificano incidenti che possono avere un impatto sulla sicurezza dei prodotti e dei clienti“.

Stabilire l’entità del danno

Martedì 22 in serata, circa otto ore dopo aver pubblicato la dichiarazione di Bradbury, Okta ha aggiornato l’avviso con alcune informazioni in più. In particolare la società ha ammesso che circa il 2,5 % dei suoi clienti “è stato potenzialmente colpito“, aggiungendo che i loro dati “possono essere stati visualizzati o manipolati“. La società ha anche dichiarato di aver contattato tutti i clienti interessati, quindi indicativamente 350 aziende, dato che Okta lo scorso febbraio dichiarava di avere più di 14.000 clienti.

La prima dichiarazione di Bradbury sosteneva che la società avesse ricevuto un’analisi dell’incidente di gennaio solo questa settimana dallo studio legale assunto per valutare la situazione. La tempistica coincide con la decisione di Lapsus$ di rilasciare screenshot, via Telegram, usati per dimostrare di essere entrati nell’account amministrativo Okta alla fine di gennaio. Sebbene inizialmente l’azienda abbia detto di aver rilevato “un tentativo senza successo di compromettere l’account di un ingegnere del supporto clienti che lavora per un fornitore di terze parti”, qualche tentativo ha avuto successo, perché Bradbury prosegue dicendo che il rapporto sull’incidente ha recentemente rivelato “una finestra di tempo di cinque giorni tra il 16 e il 21 gennaio 2022, nei quali un attaccante ha avuto accesso al computer portatile di un ingegnere del supporto tecnico“.

La dichiarazione aggiunge che, durante quei cinque giorni, gli aggressori avrebbero avuto i livelli di accesso degli ingegneri di supporto, che non includono la possibilità di creare o eliminare gli utenti, scaricare i database dei clienti o accedere alle password degli utenti esistenti, ma includono l’accesso ai ticket di Jira, gli elenchi di utenti e, soprattutto, la possibilità di reimpostare le password e i token di autenticazione multifattore (Mfa). Quest’ultimo è il meccanismo principale che gli hacker di Lapsus$ hanno probabilmente sfruttato per assumere il controllo dei login Okta e infiltrarsi nelle organizzazioni scelte come target.

Una questione spinosa

Okta dice che sta contattando i clienti che possono essere stati colpiti. Martedì 22, però, alcune aziende, tra cui la società di sicurezza Cloudflare, hanno sollevato il problema di essere venute a conoscenza dell’incidente da tweet e screenshot dei criminali anziché che da Okta stessa. La società di gestione delle identità sembra voler continuare a sostenere il fatto che compromettere un partner in qualche modo non è una violazione diretta.