En su blog oficial, Okta señala que “el impacto del incidente fue significativamente menor que el impacto potencial máximo previsto inicialmente”. Okta dijo que la intrusión perpetrada por los extorsionistas de LAPSUS$, impactó solo a dos clientes, número considerablemente inferior a los 366 que supuso inicialmente.
El incidente de seguridad tuvo lugar el 21 de enero, cuando el grupo de ciberdelincuentes LAPSUS$ obtuvo acceso remoto no autorizado a una estación de trabajo perteneciente a un ingeniero de soporte de Sitel. Sin embargo, la intrusión no se hizo pública sino dos meses después, cuando los extorsionistas publicaron capturas de pantalla de los sistemas internos de Okta en su canal de Telegram.
Además de acceder a dos cuentas de clientes activos dentro de la aplicación SuperUser -que realiza funciones básicas de gestión-, los intrusos obtuvieron información adicional limitada en otras aplicaciones como Slack y Jira, corroborando informes anteriores.
“El control duró 25 minutos consecutivos el 21 de enero de 2022”, escribe David Bradbury, director de seguridad de Okta. “El actor de la amenaza no pudo realizar con éxito ningún cambio de configuración, restablecimiento de autenticación multifactor o de contraseñas, o eventos de suplantación del servicio de atención al cliente. Los intrusos no pudieron autenticarse directamente en ninguna cuenta de Okta”.
Okta, que se ha enfrentado a las críticas por su retraso en la divulgación y su manejo del incidente, dijo que ha terminado su relación con Sitel y que está haciendo cambios en su herramienta de soporte al cliente para “limitar restrictivamente la información que un ingeniero de soporte técnico puede ver”.
