Agencias/Ciudad de México.- La empresa de servicios de verificación de identidad y seguridad para terceros Okta ha reconocido que cometió “un error” al no informar a sus clientes del ataque perpetrado por el grupo de ciberdelincuentes LAPSUS$.
Okta es un sistema utilizado por varias organizaciones y gobiernos de diferentes partes del mundo como proveedor de inicio de sesión único, un servicio que ofrece mayor seguridad a la hora de acceder a sistemas internos de la empresa, como cuentas de correo electrónico, bases de datos o aplicaciones.
Hace dos semanas, LAPSUS$ publicó capturas de pantalla de las aplicaciones y sistemas de Okta a través de su cuenta de Telegram, atribuyéndose el robo de una serie de datos confidenciales de esta compañía.
Días después, la compañía publicó una cronología del robo e indicó que fue el 20 de enero de 2022 cuando su equipo de seguridad recibió una alerta de un intento de acceso a la red de Okta utilizando la cuenta de un empleado de Sitel, uno de los clientes de su cartera.
Ahora, en el apartado de preguntas frecuentes de su Centro de Ayuda, Okta ha dado a conocer los últimos resultados de sus investigaciones y ha reconocido que cometió un error al no dar aviso de los hechos al resto de sus clientes.
“Queremos reconocer que cometimos un error. Sitel es nuestro proveedor de servicios del que somos responsables en última instancia”, señalan en su página web, donde ha explicado cuáles fueron sus movimiento a raíz de este problema.
“En enero no sabíamos el alcance del problema de Sitel, solo que detectamos y evitamos un intento de apropiación de una cuenta y que Sitel había contratado a una firma externa para investigarlo”, ha señalado, asegurando que en ese momento no reconoció que existía un riesgo tanto para la empresa como para el resto de sus clientes.
Debido a las investigaciones llevadas a cabo después de que LAPSUS$ filtrase capturas de los datos robados, Okta ha asegurado que habría “tomado una decisión diferente” su hubiera sabido el alcance de los daños, debido a que es responsable en última instancia de Sitel.
New documents offer the most detailed account so far of how the Lapsus$ group hacked Sitel, including how the hackers accessed a spreadsheet of 'domain admin' passwords on Sitel's network at the time they were compromising Okta. https://t.co/5q580tMNxT
— Zack Whittaker (@zackwhittaker) March 28, 2022
Con ello, esta empresa de servicios ha advertido que ha identificado a los clientes que pueden haberse visto afectados por el ataque y se ha puesto en contacto con ellos. Además, ha descartado que se haya visto comprometida la información de otros clientes como Auth0, atSpoke, HIPAA y FedRAMP.
Además de la información ofrecida por la empresa afectada por el ataque, TechCrunch ha publicado más detalles del ataque, tras tener acceso a documentos obtenidos por el investigador de seguridad independiente Bill Demirkapi.
En estos documentos se incluye una comunicación con el proveedor de servicios externo de Okta, Sykes Enterprises, una empresa de servicio al cliente que le brinda soporte de ingeniería y que Sitel adquirió en septiembre de 2021.
Según estos escritos, en los que se incluye una cronología paralela a la proporcionada por Okta, Sitel indicó que descubrió el incidente de seguridad en sus accesos de enlace de red privada virtual (VPN, por sus siglas en inglés) en una red perteneciente a Sykes.
Generalmente, estas redes suelen ser el objetivo de los atacantes, ya que pueden intervenir en ellas para acceder de toma remota a la red de una empresa u organización determinada.
De ese modo, LAPSUS$ accedió de forma ilimitada durante cinco días a la red privada de Sitel, así como a su infraestructura en la nube de Azure, que también se vio comprometida por los ciberdelincuentes.
Transparency with customers and stakeholders is of utmost importance. @okta finally realized the mistake.
Blog: https://t.co/1e6270dh2r@rneelmani @hacback17 @shivanginadkarn #infosec #cybersecurity #databreach #hacked #hacking #security #100DaysOfCode #girlswhocode #ciso pic.twitter.com/lkiZXWtUhs
— DynamicCISO (@dynamicCISO) March 28, 2022
Estos pudieron interceptar una hoja de cálculo en la red interna de Sitel llamada ‘DomAdmins-LastPass.xlsx’ en las primeras horas del 21 de enero de 2022.
El nombre del archivo sugiere que este podría contener credenciales para las cuentas de los administradores, que se exportaron desde el administrador de contraseñas LastPass desde la cuenta intervenida de un empleado de Sitel.
Unas cinco horas más tarde, los atacantes craron una cuenta de usuario de Sykes y la ahregaron a un grupo de usuarios llamado ‘Tenant administrators’ (algo así como ‘Administradores de inquilinos’), que tienen acceso a gran parte de los archivos de la organización. Entonces, crearon una puerta trasera en la red de Sitel, para utilizarla en caso de que fuesen bloqueados o descubiertos.
Según ha podido comprobar TechCrunch en la cronología que ha aportado Demirkapi, LAPSUS$ habría estado comprometiendo la red de Sitel de forma simultánea a la de Okta.
La línea de tiempo muestra que los hackers accedieron por última vez a la red de Sitel el 21 de enero a las 14 horas (UTC), unas 14 horas después de acceder a la mencionada hoja de cálculo de las contraseñas. Fue entonces cuando Sitel emitió el restablecimiento de estas credenciales para tratar de frenar el ataque.
Conviene recordar que Okta no ha sido la única víctima de este grupo de ciberdelincuentes, que se ha atribuido los ataques a a grandes gigantes de la tecnología, como Samsung, Nvidia o Microsoft.
Como resultado de las investigaciones llevadas a cabo por la empresa de investigación y seguridad cibernética Unit 221B, la Policía de Londres (Reino Unido) ha detenido a siete adolescentes que tendrían presuntas conexiones con LAPSUS$.
Según Bloomberg, el autor intelectual de los ataques perpetrados sería un joven de 16 años que actualmente reside en Oxford, Inglaterra, y se da a conocer con el alias ‘White’ y ‘Breachbase’.
#IncidentResponse 📚 Check this report compiled by #Mandiant about the #Okta breach… Interesting! https://t.co/TPtYB8NbxM
Lot of details about the #Sitel subcontractor intrusion. It is full of lessons (and is actually quite simple!) 1/4 pic.twitter.com/fkClhkdyiG
— Matthieu Garin (@matthieugarin) March 29, 2022
