数字安全认证公司 Okta 在泄露事件发生大约两个月后确认它是微软和 Nvidia 黑客 LAPSUS$ 的目标时,引起了人们的注意。
从网络安全事件的最初阶段到官方承认黑客攻击之间的等待引起了安全研究人员和技术界的严重关注。现在,Okta 发布了一个关于它承认公司犯了错误的常见问题解答。
LAPSUS$ 声称在 1 月份通过渗透到其客户之一 Sitel 获得了对 Okta 系统的访问权限。 Okta 表示它在 1 月 20 日检测到可疑活动时也证实了这一点。它说它在 3 月 17 日收到了一份“来自 Sitel 的事件摘要报告”。
然而,Okta 仅在 LAPSUS$ 上周发布敏感图像后才证实了此次黑客攻击。该公司为世界上一些最大的公司(包括政府机构)提供身份验证技术,现在已经对常见问题解答中的强烈反对做出了回应:
“我们想承认我们犯了一个错误。 Sitel 是我们最终负责的服务提供商。
“1 月份,我们不知道 Sitel 问题的严重程度——只知道我们发现并阻止了帐户接管企图,并且 Sitel 已聘请第三方取证公司进行调查。当时,我们没有意识到 Okta 和我们的客户存在风险。我们应该从 Sitel 获得更积极和更有力的信息。
“鉴于我们上周收集到的证据,很明显,如果我们掌握了今天掌握的所有事实,我们会做出不同的决定。”
在其他地方,独立安全研究员比尔·德米尔卡皮 (Bill Demirkapi) 与《连线》杂志分享的泄露文件对 Sitel 的安全系统和缓解响应的强度或明显缺乏提出质疑,并显示“Okta 对事件的响应存在明显差距”。
根据该报告,LAPSUS$ 依靠 Mimikatz 等旨在提取密码的工具来进一步访问 Sitel 的系统。
“对于 Sitel 集团来说,攻击时间线令人尴尬地令人担忧,”Demirkapi 强调说。 “攻击者根本没有试图维护运营安全。他们实际上是在他们受感染的机器上在互联网上搜索已知的恶意工具,并从官方来源下载它们。”
强烈反弹
无论如何,安全研究人员和 Okta 自己的客户都发现了该公司对黑客攻击的反应方式存在缺陷。
例如, 据 Computing.co.uk 报道,Tenable 首席执行官 Amit Yoran 是一家网络安全公司,也是 Okta 的客户,他通过 LinkedIn 向 Okta 提供了一份措辞强硬的声明:
“你要么没有进行适当的调查,要么在 1 月份发现违规时披露了违规行为。当您被 LAPSUS$ 淘汰时,您对事件置之不理,并没有向客户提供任何切实可行的信息。 LAPSUS$ 然后就你明显的错误陈述将你叫出来。只有这样,您才能确定并承认 2.5%(数百)的客户安全受到威胁。而且仍然不存在可操作的细节和建议。
“没有发布妥协指标,没有发布最佳实践,也没有发布关于如何减轻任何潜在风险增加的指导。作为客户,我们只能说 Okta 没有联系我们。”
Demirkapi 在上周最初评论该事件时回应了上述公开信的观点。 “在我看来,他们似乎在尽可能地淡化这次袭击,甚至在自己的声明中直接自相矛盾,”他说。
与此同时,据 Wired 报道,上周,七名与 LAPSUS$ 相关的黑客(年龄在 16 至 21 岁之间)显然在伦敦被捕。然而,他们最终都在没有受到正式指控的情况下被释放。
LAPSUS$ 已经进入了黑客社区。我们最初是通过其1TB Nvidia hack发现它们的,最近随后渗透了微软的系统。至于后者,据报道它已经看到Cortana 及其 Bing 搜索引擎的源代码被泄露。