Okta ha admitido que 366 clientes corporativos, o alrededor del 2,5% de su base de clientes, pueden haber sido afectados por la vulneración, que califica de “altamente contenida”. “El 20 de enero de 2022, el equipo de seguridad de Okta fue alertado de que se había añadido un nuevo factor a la cuenta de Okta de un ingeniero de soporte al cliente de Sitel desde una nueva ubicación. Este factor era una contraseña”, dijo el jefe de seguridad de Okta, David Bradbury, en un comunicado.
La revelación se produce después de que LAPSUS$ publicara capturas de pantalla de las aplicaciones y los sistemas de Okta a principios de esta semana, unos dos meses después de que ciberdelincuentes obtuvieran acceso a la red interna de la empresa durante un período de cinco días, entre el 16 y el 21 de enero de 2022, utilizando el protocolo de escritorio remoto (RDP).
Aunque Okta intentó inicialmente restar importancia al incidente, el grupo LAPSUS$ la denunció por lo que supuestamente eran mentiras. Uno de sus miembros publicó vía Twitter: “Sigo sin entender por qué dicen que fue un intento fallido. Iniciamos una sesión en el portal de SuperUser, pudiendo restablecer la contraseña y autenticación multifactor del ~95% de los clientes. ¿Y eso es no tener éxito?”
Al respecto, Okta aclara que, en su caso particular, “SuperUser” se utiliza para realizar funciones básicas de gestión asociadas a sus clientes y opera teniendo en cuenta el principio de mínimo privilegio (PoLP), concediendo al personal de soporte acceso sólo a aquellos recursos que son pertinentes para sus funciones. En los foros donde se comenta el tema abundan las bromas sobre la denominación que en Okta tendría entonces un super usuario.
Okta recibió un informe resumido sobre el incidente de Sitel el 17 de marzo de 2022. “Estoy muy decepcionado por el largo período de tiempo transcurrido entre nuestra notificación a Sitel y la emisión del informe completo de la investigación”, dijo Bradbury.
Bloomberg informó de que “un joven de 16 años que vive en casa de su madre cerca de Oxford (Inglaterra)” podría ser el cerebro de la operación, citando a cuatro investigadores que investigan el grupo. Se sospecha que otro miembro de LAPSUS$ es un adolescente que vive en Brasil.
Mientras tanto, Check Point describió a LAPSUS$ como un grupo de hackers de habla portuguesa de Brasil. “Sin embargo, la verdadera motivación del grupo aún no está clara, aunque afirme tener motivos puramente financieros. LAPSUS$ tiene un fuerte compromiso con sus seguidores, e incluso publica encuestas interactivas sobre quién debería ser su desafortunada próxima víctima”, dijo Check Point.
