Hier ist der größte Fehler, den ein LAPSUS$-Hacking-Opfer gemacht hat

Eskere Guru

Das digitale Sicherheitsauthentifizierungsunternehmen Okta zog die Augenbrauen hoch, als es bestätigte, dass es etwa zwei Monate nach dem Auftreten des Verstoßes von Microsoft- und Nvidia-Hackern , LAPSUS$, angegriffen wurde.

Die Wartezeit zwischen der Anfangsphase des Cybersicherheitsvorfalls und der offiziellen Bestätigung des Hacks hat bei Sicherheitsforschern und der Technologie-Community zu ernsthafter Besorgnis geführt. Jetzt hat Okta eine FAQ zu der Situation veröffentlicht, in der es zugibt, dass die Firma einen Fehler gemacht hat.

Ein großer Monitor, auf dem eine Warnung vor Sicherheitsverletzungen angezeigt wird.

LAPSUS$ behauptete, sich Zugang zu Oktas Systemen verschafft zu haben, indem es im Januar einen seiner Kunden, Sitel, infiltrierte. Okta bestätigte dies, als es erklärte, am 20. Januar verdächtige Aktivitäten entdeckt zu haben. Es heißt, es habe am 17. März einen „zusammenfassenden Bericht über den Vorfall von Sitel“ erhalten.

Okta bestätigte den Hack jedoch erst, nachdem LAPSUS$ letzte Woche sensible Bilder veröffentlicht hatte. Das Unternehmen, das einigen der größten Unternehmen der Welt – einschließlich Regierungsbehörden – Authentifizierungstechnologie zur Verfügung stellt, hat nun in einer FAQ auf die heftige Gegenreaktion reagiert:

„Wir wollen anerkennen, dass wir einen Fehler gemacht haben. Sitel ist unser Dienstleister, für den wir letztendlich verantwortlich sind.

„Im Januar kannten wir das Ausmaß des Sitel-Problems nicht – nur, dass wir einen Kontoübernahmeversuch entdeckt und verhindert hatten und dass Sitel eine forensische Drittfirma mit der Untersuchung beauftragt hatte. Damals erkannten wir nicht, dass ein Risiko für Okta und unsere Kunden bestand. Wir sollten aktiver und energischer erzwungene Informationen von Sitel haben.

„Angesichts der Beweise, die wir in der letzten Woche gesammelt haben, ist klar, dass wir eine andere Entscheidung getroffen hätten, wenn wir im Besitz aller Fakten gewesen wären, die wir heute haben.“

An anderer Stelle stellen durchgesickerte Dokumente, die der unabhängige Sicherheitsforscher Bill Demirkapi mit Wired geteilt hat, die Stärke oder das offensichtliche Fehlen von Sitels Sicherheitssystem und Abwehrreaktionen in Frage und zeigen „offensichtliche Lücken in Oktas Reaktion auf den Vorfall“.

Dem Bericht zufolge stützte sich LAPSUS$ auf Tools wie Mimikatz, das entwickelt wurde, um Passwörter zu extrahieren, um weiteren Zugriff auf die Systeme von Sitel zu erhalten.

„Der Angriffszeitplan ist für die Sitel-Gruppe peinlich beunruhigend“, betonte Demirkapi. „Die Angreifer haben überhaupt nicht versucht, die Betriebssicherheit aufrechtzuerhalten. Sie durchsuchten buchstäblich das Internet auf ihren kompromittierten Rechnern nach bekannten schädlichen Tools und luden diese von offiziellen Quellen herunter.“

Starker Rückschlag

Auf jeden Fall haben sowohl Sicherheitsforscher als auch die eigenen Kunden von Okta Kritik daran gefunden, wie das Unternehmen auf den Hack reagiert hat.

Wie beispielsweise Computing.co.uk berichtete, gab Amit Yoran, CEO von Tenable, ein Unternehmen für Cybersicherheit und Okta-Kunde, eine scharf formulierte Erklärung ab, die über LinkedIn an Okta gerichtet war :

„Sie haben entweder nicht richtig nachgeforscht oder die Sicherheitslücke im Januar offengelegt, als sie entdeckt wurde. Als Sie von LAPSUS$ geoutet wurden, haben Sie den Vorfall abgetan und es versäumt, den Kunden buchstäblich umsetzbare Informationen zur Verfügung zu stellen. LAPSUS$ hat Sie dann wegen Ihrer offensichtlichen Falschaussagen zur Rede gestellt. Erst dann stellen Sie fest und geben zu, dass 2,5 % (Hunderte) der Kundensicherheit kompromittiert wurden. Und dennoch gibt es keine umsetzbaren Details und Empfehlungen.

„Es wurden keine Indikatoren für Kompromisse veröffentlicht, es wurden keine bewährten Verfahren und keine Anleitung veröffentlicht, wie ein potenzieller Anstieg des Risikos gemindert werden kann. Als Kunde können wir nur sagen, dass Okta uns nicht kontaktiert hat.“

Demirkapi wiederholte die Gefühle des oben erwähnten offenen Briefes, als er den Vorfall letzte Woche erstmals kommentierte . „Meiner Meinung nach versuchen sie, den Angriff so weit wie möglich herunterzuspielen und sich in ihren eigenen Aussagen sogar direkt zu widersprechen“, sagte er.

In der Zwischenzeit wurden sieben mit LAPSUS$ in Verbindung stehende Hacker (im Alter von 16 bis 21 Jahren) laut Wired letzte Woche offenbar in London festgenommen. Sie wurden jedoch schließlich alle freigelassen, ohne formell angeklagt zu werden.

LAPSUS$ hat in der Hacking-Community einen beachtlichen Einzug gehalten. Wir haben zunächst über den 1-TB- Nvidia-Hack von ihnen erfahren, dem kürzlich eine Infiltration von Microsofts Systemen folgte. Was die letztgenannte Firma betrifft, hat sie Berichten zufolge bereits Quellcodes für Cortana und ihre Bing-Suchmaschine geleakt .